vorherig
weiter
Reflection SSL-/TLS- und Secure Shell-Verbindungen können für die Hostauthentifizierung mit digitalen Zertifikaten Digitale Zertifikate sind ein wesentlicher Bestandteil einer PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel). Digitale Zertifikate (auch als X.509-Zertifikate bezeichnet) werden von einer Zertifizierungsstelle ausgestellt, die die Richtigkeit der im Zertifikat enthaltenen Informationen sicherstellt. Jedes Zertifikat enthält Identifizierungsinformationen über den Zertifikatseigentümer, eine Kopie des öffentlichen Schlüssels des Zertifikatseigentümers (zum Ver- und Entschlüsseln von Nachrichten und digitalen Signaturen) und die von der Zertifizierungsstelle erstellte digitale Signatur des Zertifikatsinhalts. Anhand dieser Signatur bestätigt der Empfänger, dass das Zertifikat nicht manipuliert wurde und vertrauenswürdig ist. konfiguriert werden. Um auszuschließen, dass Zertifikate zurückgezogen wurden, können Sie in Reflection eine Überprüfung auf zurückgezogene Zertifikate mithilfe von CRLs Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig. oder unter Verwendung eines OCSP Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "good" (Zertifikat gültig), "revoked" (Zertifikat gesperrt) und "unknown" (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen. -Responders konfigurieren.
Wenn die CRL-Prüfung aktiviert ist, sucht Reflection grundsätzlich an allen Speicherorten nach CRLs, die im Feld für den CRL-Verteilungspunkt (CDP, CRL Distribution Point) des Zertifikats angegeben sind. Außerdem kann Reflection so konfiguriert werden, dass unter Verwendung eines OCSP Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "good" (Zertifikat gültig), "revoked" (Zertifikat gesperrt) und "unknown" (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen. -Responders oder in einem LDAP Standardprotokoll, mit dem Sie Informationen an einem zentralen Speicherort ablegen und an Benutzer verteilen können. -Verzeichnis gezielt nach CRLs gesucht wird.
Die Reflection-Standardeinstellung für die CRL-Prüfung hängt von Ihren aktuellen Systemeinstellungen ab. Wenn Ihr System für die Ausführung der CRL-Prüfung konfiguriert ist, wird sie für alle Reflection-Sitzungen standardmäßig ausgeführt.
HINWEIS:Wenn Reflection im DOD PKI-Modus ausgeführt wird, ist die Prüfung des Zertifikat-Gültigkeitsstatus permanent aktiviert und kann nicht deaktiviert werden.
So aktivieren Sie die CRL-Prüfung für alle SSH-Sitzungen
Wählen Sie in Internet Explorer die Optionen > > aus.
Aktivieren Sie unter das Kontrollkästchen .
Mit Reflection können Sie die Prüfung des Zertifikat-Gültigkeitsstatus mit einem CRL- oder OCSP-Responder aktivieren.
So aktivieren Sie die CRL-Prüfung für eine Secure Shell-Sitzung (FTP Client und SSH-Terminalsitzungen)
Öffnen Sie das Dialogfeld .
Klicken Sie auf die Registerkarte .
Aktivieren Sie das Kontrollkästchen oder .
So aktivieren Sie die CRL-Prüfung für SSL/TLS-Sitzungen (nur FTP Client)
Öffnen Sie das Dialogfeld .
Klicken Sie in der Registerkarte auf PKI konfigurieren. (Die Option muss aktiviert sein.)
Aktivieren Sie das Kontrollkästchen oder .