Konfigurieren der Überprüfung auf gesperrte Zertifikate

Wenn Sie zur Authentifizierung von Hosts digitale Zertifikate verwenden, können Sie durch Konfigurieren der Überprüfung auf gesperrte Zertifikate sicherstellen, dass diese gültig sind. Mit dieser Funktion werden die durch das Feld „Sperrlisten-Verteilungspunkt“ des Zertifikats angegebenen Zertifikatsperrlisten (CRLs) überprüft, und es wird ermittelt, ob das Zertifikat gesperrt wurde.

In Extra! können Sie die CRL-Überprüfung für alle Sitzungen, die Secure Shell-Zertifikate verwenden, sowie für 3270-Sitzungen, die Micro Focus SSL/TLS-Sicherheitseinstellungen verwenden, aktivieren.

So aktivieren Sie die CRL-Überprüfung für eine Secure Shell-Sitzung

  1. Klicken Sie bei geöffneter Sitzungsdatei auf Optionen > Einstellungen.

  2. Wählen Sie auf der linken Seite Verbindung aus.

  3. Klicken Sie in der Registerkarte Allgemein auf die Schaltfläche Erweitert.

  4. Klicken Sie im Dialogfeld Reflection Secure Shell-Einstellungen auf die Registerkarte PKI.

  5. Wählen Sie entweder OCSP benutzen oder CRL benutzen aus.

    HINWEIS:Wenn in Internet Explorer (über die Option Auf gesperrte Serverzertifikate überprüfen*) die CRL-Überprüfung aktiviert ist, wird in allen Extra! SSH-Sitzungen standardmäßig die Option CRL verwenden ausgewählt.

Ihre Einstellungen werden in einer SSH-Konfigurationsdatei gespeichert. Die CRL-Überprüfung wird dann in allen Sitzungen angewendet, die diese SSH-Konfigurationsdatei verwenden.

So aktivieren Sie die CRL-Überprüfung für eine SSL/TLS-Sitzung (nur 3270)

  1. Klicken Sie bei geöffneter Sitzungsdatei auf Optionen > Einstellungen.

  2. Wählen Sie auf der linken Seite Verbindung aus.

  3. Klicken Sie in der Registerkarte Allgemein auf die Schaltfläche Hinzufügen.

  4. Achten Sie darauf, dass im Dialogfeld Verbindung konfigurieren als Sicherheitstyp SSL v3.0, TLS v1.2 oder TLS v1.0 festgelegt ist.

  5. Wählen Sie unter Serverauthentifizierung eine oder beide der folgenden Optionen aus:

    • Zertifikatsperrliste verwenden Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig.

    • Online Certificate Status-Protokoll verwenden Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: „Good“ (Zertifikat gültig), „Revoked“ (Zertifikat gesperrt) und „Unknown“ (Zertifikat unbekannt). Bei Verwendung von OCSP müssen Server und/oder Clients keine umfangreichen CRLs mehr abrufen und durchsuchen.

      HINWEIS:Anders als bei SSH-Sitzungen ist diese CRL-Einstellung unabhängig von der CRL-Option in Internet Explorer Auf gesperrte Serverzertifikate überprüfen*.