Mostrar Contenido / Índice / Búsqueda

Configurar la comprobación de la revocación de certificados

Las conexiones Reflection SSL/TLS y Secure Shell se pueden configurar para autenticar hosts utilizando certificados digitales. Para asegurarse de que estos certificados no se revoquen, se puede configurar Reflection para que compruebe la revocación de los certificados utilizando la lista CRL o el respondedor OCSP.

Si se habilita CRL (Certificate Revocation List), Reflection siempre comprueba las listas CRL en las ubicaciones especificadas en el campo "CRL Distribution Point" (punto de consulta de la revocación de certificados) del certificado. Además, Reflection también puede configurarse para comprobar las CRL que se encuentran en un directorio LDAP o utilizando un respondedor OCSP.

El valor predeterminado en Reflection para la comprobación de la revocación de certificados depende de la configuración actual del sistema. Si el sistema está configurado para realizar la comprobación de CRL, todas las sesiones de Reflection comprobarán la revocación de certificados utilizando las listas CRL, de manera predeterminada.

Nota: si se ejecuta Reflection en modo DOD PKI (Infraestructura de claves públicas del Departamento de Defensa estadounidense), la revocación de certificados está siempre activada y no se podrá desactivar.

Para activar la comprobación de CRL en el sistema:

  1. Inicie Internet Explorer.
  2. Vaya a Herramientas > Opciones de Internet > Opciones avanzadas.
  3. En el apartado Seguridad, seleccione la casilla Comprobar si se revocó el certificado de servidor.

En Reflection, se puede habilitar la comprobación de la revocación de certificados utilizando una CRL o un respondedor OCSP.

Para activar la comprobación de CRL en las sesiones Secure Shell:

  1. Abra la ficha PKI en el cuadro de diálogo Configuración de Reflection Secure Shell.
  2. Seleccione la casilla Utilizar OCSP o Utilizar CRL.

Para activar la comprobación de CRL en las sesiones SSL/TLS:

  1. Abra el cuadro de diálogo Propiedades de seguridad.
  2. En la ficha SSL/TLS, haga clic en el botón Configurar PKI. (La opción Utilizar seguridad SSL/TLS debe estar seleccionada).
  3. Seleccione la casilla Utilizar OCSP o Utilizar CRL.

Nota: las CRL y/o los respondedores OCSP requeridos mediante un certificado son identificados en la extensión AIA y/o CDP del certificado. Si esta información no se encuentra en el certificado, se pueden utilizar las fichas OCSP y LDAP del Administrador de certificados de Reflection para configurarla.