Informationen zu DOD PKI
In diesem Abschnitt finden Sie Anweisungen zum Installieren, Konfigurieren und Verwenden von Reflection innerhalb der US-Verteidigungsministeriums (US Department of Defense; DOD)- oder einer anderen PKI-Umgebung (Public Key Infrastructure). Die PKI-Konfiguration wirkt sich auf Secure Shell- und SSL/TLS-Verbindungen aus.
Ausführen von Reflection im DOD PKI-Modus
Standardmäßig lassen Reflection-Anwendungen einige Konfigurationen zu, die nicht die DOD PKI-Anforderungen erfüllen. Administratoren können anhand der Reflection-Gruppenrichtlinien alle Reflection-Sitzungen so konfigurieren, dass sie die DOD PKI-Anforderungen erfüllen.
So konfigurieren Sie den DOD PKI-Modus
-
Führen Sie den Gruppenrichtlinien-Editor mit einer der folgenden Methoden aus:
- Geben Sie in der Befehlszeile
Gpedit.msc
ein.
Alternativ:
- Öffnen Sie in der Konsole Active Directory-Benutzer und -Computer die Eigenschaften für eine Organisationseinheit, wechseln Sie in die Registerkarte Gruppenrichtlinie, und bearbeiten oder erstellen Sie ein neues Richtlinienobjekt.
- Geben Sie in der Befehlszeile
-
Installieren Sie die Reflection-Vorlage (ReflectionPolicy.adm), falls Sie das noch nicht getan haben.
Hinweis
Informationen zum Herunterladen und Installieren der Reflection-Richtlinienvorlage finden Sie in Technical Note 2216
-
Deaktivieren Sie unter Richtlinie für "Lokaler Computer" > Benutzerkonfiguration > Administrative Vorlagen > Reflection Settings die Einstellung Allow non-DoDPKI mode.
Das Konfigurieren des DOD PKI-Modus wirkt sich wie folgt aus.
-
Sie müssen für Reflection entweder die Verwendung der CRL-Prüfung oder eines OCSP-Responders konfigurieren. Im DOD PKI-Modus ist die Option, keine der beiden Prüfmethoden zu verwenden, deaktiviert. (Für SSH-Verbindungen wird der Zertifikat-Gültigkeitsstatus im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte PKI konfiguriert. Für SSL/TLS-Verbindungen wird sie im Dialogfeld PKI konfigurieren festgelegt.)
-
Reflection erzwingt von FIPS genehmigte Verschlüsselungsalgorithmen. Für SSH-Verbindungen bedeutet dies, dass im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte Verschlüsselung nur von FIPS genehmigte Optionen verfügbar sind. Für SSL-/TLS-Verbindungen bedeutet dies, dass Sie den Verschlüsselungsgrad nicht auf 40 oder 56 Bit setzen können.
-
Für eine erfolgreiche Verbindung muss der Name des Zertifizierungshosts exakt mit dem für Ihre Reflection-Verbindung festgelegten Hostnamen übereinstimmen. Dies bedeutet, dass die Einstellung Name des Zertifizierungshosts muss mit dem des angesprochenen Hosts übereinstimmen automatisch ausgewählt wird und nicht geändert werden kann. (Für SSH-Verbindungen wird diese Einstellung in der Registerkarte PKI des Dialogfelds Reflection Secure Shell-Einstellungen konfiguriert. Für SSL/TLS-Verbindungen wird sie im Dialogfeld PKI konfigurieren festgelegt.)
-
Zwischenzertifikate von zuverlässigen Zertifizierungsstellen, die mit MD2- oder MD5-Hashes signiert sind, werden bei der Zertifikatvalidierung nicht unterstützt.
Trust Points installieren und entfernen
Ein Trust Point ist ein CA-Zertifikat in einer Vertrauenskette (Chain-of-Trust, Zertifizierungshierarchie).
So fügen Sie dem Reflection-Zertifikatspeicher einen Trust Point hinzu
-
Öffnen Sie den Reflection-Zertifikatmanager.
-
Klicken Sie auf die Registerkarte Vertrauenswürdige Zertifizierungsstellen.
-
Klicken Sie auf Importieren und navigieren Sie zum gewünschten Zertifikat (in der Regel
*.cer
oder*.crt
).
So entfernen Sie einen Trust Point aus dem Reflection-Zertifikatspeicher:
-
Öffnen Sie den Reflection-Zertifikatmanager.
-
Klicken Sie auf die Registerkarte Vertrauenswürdige Zertifizierungsstellen.
-
Markieren Sie das betreffende Zertifikat, und klicken Sie auf Entfernen.
Hinweis
-
Trust Points in einer CA-Vertrauenskette können von einem LDAP- oder HTTP-Server abgerufen werden, der durch explizite URIs, die in der AIA-Erweiterung (Authority Information Access) eines Zertifikats definiert wurden, oder durch die Verwendung von LDAP-Serverinformationen, die in der Registerkarte „LDAP“ des Reflection-Zertifikatmanagers konfiguriert wurden, identifiziert werden kann. Diese Zertifikate werden in der Datei „cert_cache“ unter
<My Documents>\Attachmate\Reflection\.pki
oder\All Users\Application data\Attachmate\Reflection
gespeichert. -
Wenn Reflection im DOD PKI-Modus ausgeführt wird, werden nur die Stammzertifikate verwendet, die Sie dem Reflection-Zertifikatmanager hinzugefügt haben. Nicht-DOD PKI-Zertifikate im Windows-Zertifikatspeicher müssen nicht entfernt werden.
Konfigurieren der Prüfung des Zertifikat-Gültigkeitsstatus
Die Reflection-Standardeinstellung für die CRL-Prüfung hängt von Ihren aktuellen Systemeinstellungen ab. Wenn Ihr System für die Ausführung der CRL-Prüfung konfiguriert ist, verwenden Reflection-Sitzungen für die Prüfung des Zertifikat-Gültigkeitsstatus standardmäßig CRLs. Sie können für Reflection auch die Verwendung eines OCSP-Responders konfigurieren.
Reflection unterstützt zudem eine Einstellung zum Deaktivieren der CRL-Prüfung. Diese Einstellung können Sie für Testzwecke verwenden, sie ist jedoch nicht verfügbar, wenn Reflection im DOD PKI-Modus ausgeführt wird.
Vorsicht
Das Deaktivieren der Überprüfung der Zertifikatswiderrufsliste gefährdet Ihre Sicherheit. Verwenden Sie diese Option nur zu Testzwecken.
Sie können einen oder mehrere LDAP-Server definieren, von denen Zwischenzertifikate oder CRLs abgerufen werden können.
So definieren Sie einen LDAP-Server
-
Öffnen Sie den Reflection-Zertifikatmanager.
-
Klicken Sie auf die Registerkarte LDAP.
-
Klicken Sie auf Hinzufügen, um den Server mit der folgenden URL-Syntax festzulegen:
ldap://hostname:portnumber
Beispiel:
ldap://ldap-server.meinhost.com:389
So konfigurieren Sie OCSP
-
Sie können einen oder mehrere OCSP-Server definieren, von denen Informationen zum Zertifikat-Gültigkeitsstatus angefordert werden können.
-
Stellen Sie den Zertifikat-Gültigkeitsstatus auf Use OCSP (OCSP verwenden) ein. (Verwenden Sie für SSH-Verbindungen die Registerkarte PKI im Dialogfeld Reflection Secure Shell-Einstellungen. Für SSL/TLS-Verbindungen verwenden Sie dagegen das Dialogfeld PKI konfigurieren.)
Hinweis
Die für ein Zertifikat benötigten URLs des OCSP-Responders sind in der AIA-Erweiterung des Zertifikats angegeben. Sofern diese Informationen im Zertifikat nicht angegeben sind, können Sie sie wie folgt konfigurieren.
-
Öffnen Sie den Reflection-Zertifikatmanager.
-
Klicken Sie auf die Registerkarte OCSP.
-
Klicken Sie auf Hinzufügen, um den Server mit der folgenden URL-Syntax festzulegen:
URL:Portnummer
Beispiel:
https://ocspmachine.host.com:389
Verwenden von URIs für DOD PKI-Dienste
Reflection unterstützt die Verwendung von URIs zum automatischen Aktualisieren und Abrufen von CRLs. Die Unterstützung erfolgt gemäß RFC3280, Abschnitt 4.2.1.14.
Wenn die CRL-Prüfung aktiviert ist, prüft Reflection den Zertifikat-Gültigkeitsstatus wie folgt:
-
Die Datei crl_cache wird auf Informationen zum Gültigkeitsstatus geprüft. Falls keine Informationen gefunden werden, wird Schritt 2 ausgeführt.
-
Die CDP-Erweiterung im Zertifikat wird auf HTTP- oder LDAP-URIs überprüft, und die URIs werden in der angegebenen Reihenfolge abgefragt (zuerst HTTP, dann LDAP). Falls das Zertifikat widerrufen wurde, wird die Verbindung beendet. Wird das Zertifikat nicht gefunden, wird Schritt 3 ausgeführt.
-
Wenn auf der Registerkarte LDAP des Reflection-Zertifikatmanagers ein oder mehrere LDAP-Server festgelegt sind, wird der definierte Name für die in der Ausstellererweiterung des Zertifikats aufgelistete Zertifizierungsstelle gebildet und die CRL-Datei abgerufen. Wurde das Zertifikat in keiner CRL als widerrufen gefunden, wird der nächste Schritt der Überprüfung ausgeführt.
Aktualisierungen für abgelaufene CRLs werden automatisch durchgeführt und erfordern keine Eingabe oder Konfiguration durch den Administrator.
Wenn die OCSP-Prüfung aktiviert ist, prüft Reflection immer nach verfügbaren OCSP-Respondern, um sicherzustellen, dass die Verbindung fehlschlägt, falls einer der Responder weiß, dass das Zertifikat widerrufen wurde. Damit die Verbindung erfolgreich hergestellt werden kann, muss mindestens ein OCSP-Responder verfügbar sein und für den Gültigkeitsstatus den Wert "Good" (gültig) zurückgeben. Reflection führt diese Prüfungen wie folgt aus:
-
Die AIA-Erweiterung des Zertifikats wird auf einen oder mehrere OCSP-Responder überprüft, und jeder dieser Responder wird abgefragt. Wenn einer der Responder als Status des Zertifikats "Revoked" (widerrufen) zurückgibt, wird die Verbindung beendet.
-
Die Registerkarte OCSP des Reflection-Zertifikatmanagers wird nach einem oder mehreren benutzerkonfigurierten OCSP-Respondern durchsucht, und jeder dieser Responder wird abgefragt. Wenn einer der Responder als Status des Zertifikats "Revoked" (widerrufen) zurückgibt, wird die Verbindung beendet.
-
Wenn alle Responder den Wert "Unknown" (Unbekannt) zurückgeben, wird die Verbindung beendet. Wird von mindestens einem der abgefragten OCSP-Responder der Wert "Good" (gültig) zurückgegeben, wird der nächste Schritt der Überprüfung ausgeführt.
Abrufen von Zwischenzertifikaten mit URIs
Gemäß der Definition in RFC3280, Abschnitt 4.2.2.1 kann Reflection URIs zum Abrufen von Zwischenzertifikaten der Zertifizierungsstelle wie folgt verwenden:
-
Die Datei cert_cache wird auf das erforderliche Zwischenzertifikat überprüft. Falls es nicht gefunden wird, wird Schritt 2 ausgeführt.
-
Wenn in der AIA-Erweiterung (Authority Information Access) eines Zertifikats HTTP- oder LDAP-URIs definiert wurden, wird versucht, mit deren Hilfe (erst HTTP, dann LDAP) Zwischenzertifikate der Zertifizierungsstelle abzurufen.
-
Wenn die vorangegangenen Versuche fehlschlagen, wird ein definierter Name aus dem Betreff des ausstellenden Zertifikats gebildet, und der Inhalt des Attributs "CACertificate" wird vom definierten LDAP-Server abgefragt.
Da Reflection die Erweiterung der Sicherheitsrichtlinien eines Zertifikats nicht erzwingt, ist keine Konfiguration der Sicherheitsrichtlinien erforderlich.
Konfigurieren und Schützen von Zertifikaten und privaten Schlüsseln
So konfigurieren Sie die Clientauthentifizierung mit Zertifikaten:
-
Öffnen Sie den Reflection-Zertifikatmanager.
-
Klicken Sie auf der Registerkarte Eigene Zertifikate auf Importieren und navigieren Sie zum gewünschten Zertifikat (in der Regel
*.pfx
oder*.p12
). Sie werden aufgefordert, eine Passphrase zu erstellen, die bei jeder Verwendung dieses Schlüssels erforderlich ist. Zum Schutz dieses Schlüssels in Ihrem System ist die Eingabe einer Passphrase ratsam. -
Öffnen Sie für Secure Shell-Verbindungen das Dialogfeld Reflection Secure Shell-Einstellungen, wechseln Sie in die Registerkarte Benutzerschlüssel, und wählen Sie die Zertifikate aus, die Sie für die Clientauthentifizierung beim aktuell festgelegten Host verwenden möchten. (Bei SSL-/TLS-Verbindungen ist dieser Schritt nicht erforderlich.)
Schutzmaßnahmen für private Schlüssel
Wird ein privater Schlüssel eines Clients gestohlen, kann ein böswilliger Benutzer auf Dateien auf allen für diesen Benutzer zugänglichen Servern zugreifen. Um dieses Risiko zu minimieren, sollte jeder Clientbenutzer seinen privaten Schlüssel stets mit einer Passphrase schützen. Dies stellt sicher, dass nur der Benutzer, der die Passphrase kennt, eine Authentifizierung mit diesem Schlüssel durchführen kann. Benutzer sollten Passphrasen entsprechend den Kennwortspezifikationen der Sicherheitsrichtlinien Ihres Unternehmens erstellen und schützen.
Maßnahmen im Falle der Sicherheitsverletzung eines Schlüssels
Betrachten Sie die Sicherheit eines privaten Schlüssels als verletzt, wenn er einem nicht autorisierten Dritten bekannt wurde oder wenn Sie den Aktionen einer Person, die Zugriff auf den Schlüssel hat, nicht vertrauen.
Falls die Sicherheit des Clientschlüssels verletzt wurde, widerrufen Sie das Client-Zertifikat.
So ersetzen Sie einen gefährdeten Schlüssel
-
Generieren Sie einen neuen privaten Schlüssel, zertifizieren Sie ihn, und importieren Sie ihn in den Reflection-Zertifikatmanager.
-
Wenn die Identifizierungsinformationen geändert wurden, aktualisieren Sie in der Zuordnungsdatei auf dem Server die Zeile für diesen Client.
So entfernen Sie den verletzten Schlüssel vom Client-Computer:
-
Entfernen Sie den Schlüssel aus der Registerkarte Eigene Zertifikate des Reflection-Zertifikatmanagers. Damit wird der Schlüssel aus der Datei identity_store.p12 entfernt.
-
Wenn sich die Originaldatei mit dem alten Schlüssel und Zertifikat (.pfx oder .p12) noch auf dem Clientcomputer befindet, löschen Sie diese Datei mit einem für das US-Verteidigungsministerium (Department of Defence; DOD) zulässigen Dienstprogramm zum Löschen von Dateien.
Weitere Informationen