Inhalt /Index /Suche anzeigen

Konfigurieren der Überprüfung auf zurückgezogene Zertifikate

Reflection SSL-/TLS- und Secure Shell-Verbindungen können für die Hostauthentifizierung mit digitalen Zertifikaten konfiguriert werden. Um auszuschließen, dass Zertifikate zurückgezogen wurden, können Sie in Reflection eine Überprüfung auf zurückgezogene Zertifikate mithilfe von CRLs oder unter Verwendung eines OCSP-Responders konfigurieren.

Wenn die CRL-Prüfung aktiviert ist, sucht Reflection grundsätzlich an allen Speicherorten nach CRLs, die im Feld für den CRL-Verteilungspunkt (CDP, CRL Distribution Point) des Zertifikats angegeben sind. Außerdem kann Reflection so konfiguriert werden, dass unter Verwendung eines OCSP-Responders oder in einem LDAP-Verzeichnis gezielt nach CRLs gesucht wird.

Die Reflection-Standardeinstellung für die CRL-Prüfung hängt von Ihren aktuellen Systemeinstellungen ab. Wenn Ihr System für die Ausführung der CRL-Prüfung konfiguriert ist, wird sie für alle Reflection-Sitzungen standardmäßig ausgeführt.

Hinweis: Wenn Reflection im DOD PKI-Modus ausgeführt wird, ist die Prüfung auf zurückgezogene Serverzertifikate permanent aktiviert und kann nicht deaktiviert werden.

So aktivieren Sie die CRL-Prüfung für Ihr System:

  1. Starten Sie Internet Explorer.
  2. Wählen Sie Extras > Internetoptionen > Erweitert.
  3. Aktivieren Sie unter Sicherheit das Kontrollkästchen Auf zurückgezogene Serverzertifikate überprüfen (Neustart erforderlich).

In Reflection können Sie festlegen, ob die Überprüfung auf zurückgezogene Serverzertifikate anhand einer CRL oder unter Verwendung eines OCSP-Responders erfolgen soll.

So aktivieren Sie die CRL-Prüfung für Secure Shell-Sitzungen:

  1. Öffnen Sie im Dialogfeld Reflection Secure Shell-Einstellungen die Registerkarte PKI.
  2. Aktivieren Sie das Kontrollkästchen OCSP benutzen oder CRL benutzen.

So aktivieren Sie die CRL-Prüfung für SSL-/TLS-Sitzungen:

  1. Öffnen Sie das Dialogfeld Sicherheitseigenschaften.
  2. Klicken Sie auf der Registerkarte SSL/TLS auf die Schaltfläche PKI konfigurieren. (Das Kontrollkästchen SSL-/TLS-Sicherheit verwenden muss aktiviert sein.)
  3. Aktivieren Sie das Kontrollkästchen OCSP benutzen oder CRL benutzen.

Hinweis: Die für ein Zertifikat erforderlichen CRLs und/oder OCSP-Responder sind in der AIA- und/oder der CDP-Erweiterung des Zertifikats angegeben. Wenn diese Informationen nicht im Zertifikat angegeben sind, können Sie sie in den Registerkarten OCSP und LDAP des Reflection-Zertifikatmanagers konfigurieren.