Informationen zu DOD PKI

In diesem Abschnitt finden Sie Anweisungen zum Installieren, Konfigurieren und Verwenden von Reflection innerhalb des US-Verteidigungsministeriums (US Department of Defense; DOD) oder einer anderen PKI-Umgebung (Public Key Infrastructure). Die PKI-Konfiguration wirkt sich auf Secure Shell- und SSL/TLS-Verbindungen aus.

Ausführen von Reflection im DOD PKI-Modus

Standardmäßig lassen Reflection-Anwendungen einige Konfigurationen zu, die nicht die DOD PKI-Anforderungen erfüllen. Administratoren können anhand der Reflection-Gruppenrichtlinien alle Reflection-Sitzungen so konfigurieren, dass sie die DOD PKI-Anforderungen erfüllen.

Das Konfigurieren des DOD PKI-Modus wirkt sich wie folgt aus.

• Sie müssen für Reflection entweder die Verwendung der CRL-Prüfung oder eines OCSP-Responders konfigurieren. Im DOD PKI-Modus ist die Option, keine der beiden Prüfmethoden zu verwenden, deaktiviert. (Für SSH-Verbindungen wird die Überprüfung des Zertifikat-Gültigkeitsstatus in der Registerkarte PKI des Dialogfelds Reflection Secure Shell-Einstellungen konfiguriert. Bei SSL-/TLS-Verbindungen wird sie dagegen im Dialogfeld PKI konfigurieren festgelegt.)

  Mit diesem Protokoll (HTTP-Transport) kann alternativ zur CRL die Gültigkeit von Zertifikaten überprüft werden. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "Good" (Zertifikat gültig), "Revoked" (Zertifikat gesperrt) und "Unknown" (Zertifikat unbekannt). Durch die Verwendung eines OCSP-Responders entfällt die Notwendigkeit für Server und/oder Clients, umfangreiche CRLs abzurufen und zu durchsuchen.

  Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig.

• Reflection erzwingt von FIPS genehmigte Verschlüsselungsalgorithmen. Für SSH-Verbindungen bedeutet dies, dass in der Registerkarte Verschlüsselung des Dialogfelds Reflection Secure Shell-Einstellungen nur von FIPS genehmigte Optionen verfügbar sind. Für SSL-/TLS-Verbindungen bedeutet dies, dass Sie den Verschlüsselungsgrad nicht auf 40 oder 56 Bit setzen können.
• Für eine erfolgreiche Verbindung muss der Name des Zertifizierungshosts exakt mit dem für Ihre Reflection-Verbindung festgelegten Hostnamen übereinstimmen. Dies bedeutet, dass das Kontrollkästchen Name des Zertifizierungshosts muß mit dem des angesprochenen Hosts übereinstimmen automatisch aktiviert wird und nicht deaktiviert werden kann. (Für SSH-Verbindungen wird diese Einstellung in der Registerkarte PKI des Dialogfelds Reflection Secure Shell-Einstellungen konfiguriert. Für SSL-/TLS-Verbindungen wird sie im Dialogfeld PKI konfigurieren festgelegt.)

Installieren und Entfernen von Trust Points

Ein Trust Point ist ein CA-Zertifikat in einer Vertrauenskette (Chain-of-Trust, Zertifizierungshierarchie).

Hinweise

• Trust Points in einer CA-Vertrauenskette können von einem LDAP- oder HTTP-Server abgerufen werden, der durch explizite URIs identifiziert werden kann, die in der AIA-Erweiterung (Authority Information Access) eines Zertifikats definiert wurden. Eine weitere Möglichkeit besteht in der Verwendung von LDAP-Serverinformationen, die in der Registerkarte LDAP des Reflection-Zertifikatmanagers konfiguriert wurden. Diese Zertifikate werden in der cert_cache-Datei unter <Eigene Dateien>\Attachmate\Reflection\.pki oder \Alle Benutzer\Anwendungsdaten\Attachmate\Reflection gespeichert.

  Standardprotokoll, mit dem Sie Informationen an einem zentralen Speicherort ablegen und an Benutzer verteilen können.

• Wenn Reflection im DOD PKI-Modus ausgeführt wird, werden nur die Stammzertifikate verwendet, die Sie dem Reflection-Zertifikatmanager hinzugefügt haben. Nicht-DOD PKI-Zertifikate im Windows-Zertifikatspeicher müssen nicht entfernt werden.

Konfigurieren der Überprüfung auf zurückgezogene Zertifikate

Die Reflection-Standardeinstellung für die CRL-Prüfung hängt von Ihren aktuellen Systemeinstellungen ab. Wenn Ihr System für die Ausführung der CRL-Prüfung konfiguriert ist, verwenden Reflection-Sitzungen für die Prüfung des Zertifikat-Gültigkeitsstatus standardmäßig CRLs. Sie können Reflection auch für die Verwendung eines OCSP-Responders konfigurieren.

Reflection unterstützt zudem eine Einstellung zum Deaktivieren der CRL-Prüfung. Diese Einstellungen können Sie für Testzwecke verwenden, sie ist jedoch nicht verfügbar, wenn Reflection im DOD PKI-Modus ausgeführt wird.

Vorsicht: Das Deaktivieren der CRL-Prüfung stellt ein Sicherheitsrisiko dar. Verwenden Sie diese Option nur zu Testzwecken.

Sie können einen oder mehrere LDAP-Server definieren, von denen Zwischenzertifikate oder CRLs abgerufen werden können.

Verwenden von URIs für DOD PKI-Dienste

Reflection unterstützt die Verwendung von URIs zum automatischen Aktualisieren und Abrufen von CRLs. Die Unterstützung erfolgt gemäß RFC3280, Abschnitt 4.2.1.14.

Wenn die CRL-Prüfung aktiviert ist, überprüft Reflection den Zertifikat-Gültigkeitsstatus wie folgt:

1. Die crl_cache-Datei wird auf Informationen zum Gültigkeitsstatus geprüft. Falls keine Informationen gefunden werden, wird Schritt 2 ausgeführt.
2. Die CDP-Erweiterung im Zertifikat wird auf HTTP- oder LDAP-URIs überprüft, und die URIs werden in der angegebenen Reihenfolge abgefragt (zuerst HTTP, dann LDAP). Falls das Zertifikat widerrufen wurde, wird die Verbindung beendet. Wird das Zertifikat nicht gefunden, wird Schritt 3 ausgeführt.
3. Wenn in der Registerkarte LDAP des Reflection-Zertifikatmanagers ein oder mehrere LDAP-Server festgelegt sind, wird der definierte Name für die in der Ausstellererweiterung des Zertifikats aufgelistete Zertifizierungsstelle gebildet, und die CRL-Datei wird abgerufen. Sofern das Zertifikat in keiner CRL als widerrufen gilt, wird der nächste Schritt der Überprüfung ausgeführt.

Aktualisierungen für abgelaufene CRLs werden automatisch durchgeführt und erfordern keine Eingabe oder Konfiguration durch den Administrator.

Bei aktivierter OCSP-Prüfung stellt Reflection durch Abfragen aller verfügbaren OCSP-Responder sicher, dass die Verbindung fehlschlägt, falls das entsprechende Zertifikat widerrufen wurde. Damit die Verbindung erfolgreich hergestellt werden kann, muss mindestens ein OCSP-Responder verfügbar sein und für den Gültigkeitsstatus den Wert "Good" (gültig) zurückgeben. Reflection führt diese Prüfungen wie folgt aus:

1. Die AIA-Erweiterung des Zertifikats wird auf einen oder mehrere OCSP-Responder überprüft, und jeder dieser Responder wird abgefragt. Wenn einer der Responder als Status des Zertifikats "Revoked" (widerrufen) zurückgibt, wird die Verbindung beendet.
2. Die Registerkarte OCSP des Reflection-Zertifikatmanagers wird nach einem oder mehreren benutzerkonfigurierten OCSP-Respondern durchsucht, und jeder dieser Responder wird abgefragt. Wenn einer der Responder als Status des Zertifikats "Revoked" (widerrufen) zurückgibt, wird die Verbindung beendet.
3. Wenn alle Responder den Wert "Unknown" (unbekannt) zurückgeben, wird die Verbindung beendet. Wird von mindestens einem der abgefragten OCSP-Responder der Wert "Good" (gültig) zurückgegeben, wird der nächste Schritt der Überprüfung ausgeführt.

Abrufen von Zwischenzertifikaten mit URIs

Gemäß der Definition in RFC3280, Abschnitt 4.2.2.1 kann Reflection URIs zum Abrufen von Zwischenzertifikaten der Zertifizierungsstelle wie folgt verwenden:

1. Die cert_cache-Datei wird auf das erforderliche Zwischenzertifikat überprüft. Falls es nicht gefunden wird, wird Schritt 2 ausgeführt.
2. Wenn in der AIA-Erweiterung (Authority Information Access) eines Zertifikats HTTP- oder LDAP-URIs definiert wurden, wird versucht, mit deren Hilfe (erst HTTP, dann LDAP) Zwischenzertifikate der Zertifizierungsstelle abzurufen.
3. Wenn die vorangegangenen Versuche fehlschlagen, wird ein definierter Name aus dem Betreff des ausstellenden Zertifikats gebildet, und der Inhalt des Attributs "CACertificate" wird vom definierten LDAP-Server abgefragt.

Da Reflection die Erweiterung der Sicherheitsrichtlinien eines Zertifikats nicht erzwingt, ist keine Konfiguration der Sicherheitsrichtlinien erforderlich.

Konfigurieren und Schützen von Zertifikaten und privaten Schlüsseln

So konfigurieren Sie die Clientauthentifizierung mit Zertifikaten:

1. Öffnen Sie den Reflection-Zertifikatmanager.
2. Klicken Sie in der Registerkarte Eigene Zertifikate auf Importieren, und navigieren Sie zu dem gewünschten Zertifikat (in der Regel *.pfx oder *.p12). Sie werden aufgefordert, eine Passphrase zu erstellen, die bei jeder Verwendung dieses Schlüssels erforderlich ist. Zum Schutz dieses Schlüssels in Ihrem System ist die Eingabe einer Passphrase ratsam.
3. Öffnen Sie für Secure Shell-Verbindungen das Dialogfeld Reflection Secure Shell-Einstellungen, wechseln Sie in die Registerkarte Benutzerschlüssel, und wählen Sie die Zertifikate aus, die Sie für die Clientauthentifizierung beim aktuell festgelegten Host verwenden möchten. (Bei SSL-/TLS-Verbindungen ist dieser Schritt nicht erforderlich.)

Schutzmaßnahmen für private Schlüssel

Wird ein privater Schlüssel eines Clients gestohlen, kann ein böswilliger Benutzer auf Dateien auf allen für diesen Benutzer zugänglichen Servern zugreifen. Um dieses Risiko zu minimieren, sollte jeder Clientbenutzer seinen privaten Schlüssel stets mit einer Passphrase schützen. Damit können nur solche Benutzer eine Authentifizierung mit diesem Schlüssel durchführen, die die Passphrase kennen. Benutzer sollten Passphrasen entsprechend den Kennwortspezifikationen der Sicherheitsrichtlinien Ihres Unternehmens erstellen und schützen.

Maßnahmen im Falle der Sicherheitsgefährdung eines Schlüssels

Betrachten Sie die Sicherheit eines privaten Schlüssels als gefährdet, wenn er einem nicht autorisierten Dritten bekannt wurde oder wenn Sie den Aktionen einer Person, die Zugriff auf den Schlüssel hat, nicht vertrauen.

Falls die Sicherheit des Clientschlüssels gefährdet ist, widerrufen Sie das Clientzertifikat.