Configurar la comprobación de la revocación de certificados

Las conexiones Reflection SSL/TLS y Secure Shell se pueden configurar para autenticar hosts utilizando certificados digitales. Para asegurarse de que estos certificados no se revoquen, se puede configurar Reflection para que compruebe la revocación de los certificados utilizando la lista CRL o el respondedor OCSP.

Es un protocolo (que utiliza el transporte HTTP) que puede utilizarse como alternativa a la comprobación CRL para confirmar la validez de un certificado. El respondedor OCSP responde a las consultas sobre el estado del certificado con uno de estos tres valores con firma digital: "good" (válido), "revoked" (revocado) y "unknown" (desconocido). Gracias al uso de OCSP, los servidores o clientes ya no necesitan recuperar y clasificar largas listas de revocación de certificados.

Una lista de certificados firmados digitalmente que han sido revocados por la Autoridad de Certificación. Los certificados identificados en una CRL ya no son válidos.

Una parte esencial de una PKI (Public Key Infrastructure). Los certificados digitales (también llamados certificados X.509) son emitidos por una autoridad de certificación (CA), lo cual garantiza la validez de la información contenida en el certificado. Cada certificado contiene información de identificación sobre el propietario del certificado, una copia de la clave pública del propietario del certificado (utilizada para el cifrado y descifrado de mensajes y firmas digitales) y una firma digital (generada por la CA a partir del contenido del certificado). El receptor utiliza la firma digital para verificar que el certificado no ha sido falseado y es fiable.

Si se habilita CRL (Certificate Revocation List), Reflection siempre comprueba las listas CRL en las ubicaciones especificadas en el campo "CRL Distribution Point" (punto de consulta de la revocación de certificados) del certificado. Además, Reflection también puede configurarse para comprobar las CRL que se encuentran en un directorio LDAP o utilizando un respondedor OCSP.

Un protocolo estándar que se puede utilizar para almacenar información en una ubicación central y distribuirla a los usuarios.

El valor predeterminado en Reflection para la comprobación de la revocación de certificados depende de la configuración actual del sistema. Si el sistema está configurado para realizar la comprobación de CRL, todas las sesiones de Reflection comprobarán la revocación de certificados utilizando las listas CRL, de manera predeterminada.

Nota: Si se ejecuta Reflection en modo DOD PKI, (Infraestructura de claves públicas del Departamento de Defensa estadounidense), la revocación de certificados está siempre activada y no se podrá desactivar.

Para activar la comprobación de CRL en todas las sesiones SSH

En Internet Explorer, seleccione Herramientas > Opciones de Internet > Opciones avanzadas.
En el apartado Seguridad, seleccione Comprobar si se revocó el certificado de servidor.

En Reflection, se puede habilitar la comprobación de la revocación de certificados utilizando una CRL o un respondedor OCSP.

Para activar la comprobación de CRL en una sesión Secure Shell

Abra el cuadro de diálogo Configuración de Reflection Secure Shell.
Haga clic en la ficha PKI.
Seleccione la casilla Utilizar OCSP o Utilizar CRL.

Para activar la comprobación de CRL en las sesiones SSL/TLS

Abra el cuadro de diálogo Propiedades de seguridad.
En la ficha SSL/TLS haga clic en el botón Configurar PKI. (La opción Utilizar seguridad SSL/TLS debe estar seleccionada.)
Seleccione la casilla Utilizar OCSP o Utilizar CRL.

Nota: las CRL y/o los respondedores OCSP requeridos mediante un certificado son identificados en la extensión AIA y/o CDP del certificado. Si esta información no se encuentra en el certificado, se pueden utilizar las fichas OCSP y LDAP del Administrador de certificados de Reflection para configurarla.