Konfigurieren der Prüfung des Zertifikat-Gültigkeitsstatus
Reflection SSL/TLS- und Secure Shell-Verbindungen können für die Hostauthentifizierung mit digitalen Zertifikaten konfiguriert werden. Um auszuschließen, dass Zertifikate zurückgezogen wurden, können Sie in Reflection eine Überprüfung auf zurückgezogene Zertifikate mithilfe von CRLs oder unter Verwendung eines OCSP-Responders konfigurieren.
Wenn die CRL-Prüfung aktiviert ist, sucht Reflection grundsätzlich an allen Speicherorten nach CRLs, die im Feld für den CRL-Verteilungspunkt (CDP, CRL Distribution Point) des Zertifikats angegeben sind. Außerdem kann Reflection so konfiguriert werden, dass unter Verwendung eines OCSP-Responders oder in einem LDAP-Verzeichnis gezielt nach CRLs gesucht wird.
Die Reflection-Standardeinstellung für die CRL-Prüfung hängt von Ihren aktuellen Systemeinstellungen ab. Wenn Ihr System für die Ausführung der CRL-Prüfung konfiguriert ist, wird sie für alle Reflection-Sitzungen standardmäßig ausgeführt.
Hinweis
Wenn Reflection im DOD PKI-Modus ausgeführt wird, ist der Zertifikatswiderruf permanent aktiviert und kann nicht deaktiviert werden.
So aktivieren Sie die CRL-Prüfung für alle SSH-Sitzungen
-
Wählen Sie in Internet Explorer die Optionen Extras > Internetoptionen > Erweitert aus.
-
Aktivieren Sie unter Sicherheit das Kontrollkästchen Auf gesperrte Serverzertifikate überprüfen.
Mit Reflection können Sie die Prüfung des Zertifikat-Gültigkeitsstatus mit einem CRL- oder OCSP-Responder aktivieren.
So aktivieren Sie die Überprüfung der Zertifikatswiderrufsliste (CRL) für eine Secure Shell-Sitzung (FTP Client und SSH-Terminalsitzungen)
-
Öffnen Sie das Dialogfeld Reflection Secure Shell-Einstellungen.
-
Klicken Sie auf die Registerkarte PKI.
-
Aktivieren Sie das Kontrollkästchen Use OCSP (OCSP verwenden) oder Use CRL (CRL verwenden).
So aktivieren Sie die Überprüfung der Zertifikatswiderrufsliste (CRL) für SSL/TLS-Sitzungen (nur FTP Client)
-
Öffnen Sie das Dialogfeld Sicherheitseigenschaften.
-
Klicken Sie in der Registerkarte ** SSL/TLS auf PKI konfigurieren. (Die Option SSL-/TLS-Sicherheit verwenden** muss aktiviert sein.)
-
Aktivieren Sie das Kontrollkästchen OCSP benutzen oder CRL benutzen.
Hinweis
Die für ein Zertifikat erforderlichen Zertfikatswiderrufslisten und/oder OCSP-Responder sind in der AIA- und/oder der CDP-Erweiterung des Zertifikats angegeben. Wenn diese Informationen nicht im Zertifikat angegeben sind, verwenden Sie für die Konfiguration die Registerkarten „OCSP“ und „LDAP“ des Reflection-Zertifikatmanagers.