Les connexions Reflection SSL/TLS et Secure Shell peuvent être configurées de manière à utiliser des certificats numériques Partie intégrante d'une infrastructure de clés publiques. Les certificats numériques (également appelés certificats X.509) sont émis par une autorité de certification, qui veille à la validité des informations précisées sur le certificat. Chaque certificat contient des informations d’identification relatives à son propriétaire, une copie de la clé publique de son propriétaire (utilisée pour le chiffrement et le déchiffrement des messages et des signatures numériques), ainsi qu’une signature numérique (générée par l’autorité de certification à partir du contenu du certificat). La signature numérique permet à un destinataire de vérifier la fiabilité du certificat en s’assurant qu’il n’a pas été falsifié. pour l'authentification des hôtes. Pour vous assurer que les certificats n'ont pas été révoqués, vous pouvez configurer Reflection afin qu'il vérifie leur révocation au moyen de listes CRL Liste signée numériquement de certificats révoqués par l’autorité de certification. Les certificats identifiés dans une CRL ne sont plus valides. ou d'un serveur OCSP Protocole (utilisant le canal HTTP) pouvant être utilisé en remplacement de la vérification CRL pour confirmer la validité d’un certificat. Un répondeur OCSP répond aux demandes de statut des certificats avec l’une des trois réponses signées numériquement suivantes : « valide », « révocation » et « inconnu ». L’utilisation du protocole OCSP évite aux serveurs et/ou aux clients d’avoir à obtenir et à trier des listes CRL volumineuses. .
Lorsque la vérification CRL est activée, Reflection recherche toujours des CRL dans l'emplacement spécifié dans le champ CDP (CRL Distribution Point) du certificat. De plus, Reflection peut également être configuré pour rechercher les listes CRL situées dans un répertoire LDAP Protocole standard utilisé pour stocker des informations dans un emplacement centralisé et les distribuer aux utilisateurs. ou pour utiliser un serveur OCSP Protocole (utilisant le canal HTTP) pouvant être utilisé en remplacement de la vérification CRL pour confirmer la validité d’un certificat. Un répondeur OCSP répond aux demandes de statut des certificats avec l’une des trois réponses signées numériquement suivantes : « valide », « révocation » et « inconnu ». L’utilisation du protocole OCSP évite aux serveurs et/ou aux clients d’avoir à obtenir et à trier des listes CRL volumineuses. .
La valeur par défaut de Reflection pour la révocation des certificats dépend de votre paramétrage système actuel. Si votre système est configuré pour la vérification CRL, toutes les sessions Reflection utiliseront les listes CRL par défaut pour vérifier la révocation des certificats.
REMARQUE :Lorsque Reflection s'exécute en mode Infrastructure de clés publiques DOD (Department of Defense, Ministère de la Défense des États-Unis), la révocation des certificats ne peut pas être désactivée.
Pour activer la vérification CRL pour toutes les sessions SSH
Dans Internet Explorer, sélectionnez
> > .Sous
, sélectionnez .Dans Reflection, vous pouvez activer la vérification de la révocation des certificats en utilisant un fichier CRL ou un serveur OCSP.
Pour activer la vérification CRL pour une session Secure Shell (client FTP et sessions de terminal SSH)
Ouvrez la boîte de dialogue
.Cliquez sur l'onglet
.Sélectionnez
ou .Pour activer la vérification CRL pour les sessions SSL/TLS (client FTP uniquement)
Ouvrez la boîte de dialogue
.Dans l'onglet
, cliquez sur Configuration de l'infrastructure de clés publiques. (L'option doit être sélectionnée.)Sélectionnez
ou .