Konfigurieren der Überprüfung des Zertifikat-Gültigkeitsstatus

Reflection SSL-/TLS- und Secure Shell-Verbindungen können für die Hostauthentifizierung mit digitalen Zertifikaten konfiguriert werden. Wenn Sie sicherstellen möchten, dass ein Zertifikat nicht widerrufen wurde, können Sie Reflection so konfigurieren, dass der Zertifikat-Gültigkeitsstatus mithilfe von CRLs oder eines OCSP-Responders geprüft wird.

Ein Protokoll (verwendet HTTP-Transport), das alternativ zur CRL-Prüfung zur Bestätigung der Gültigkeit eines Zertifikats verwendet werden kann. Ein OCSP-Responder beantwortet Anfragen zum Zertifikatstatus mit jeweils einer von drei digital signierten Antworten: "Good" (Zertifikat gültig), "Revoked" (Zertifikat gesperrt) und "Unknown" (Zertifikat unbekannt). Durch die Verwendung eines OCSP-Responders entfällt die Notwendigkeit für Server und/oder Clients, umfangreiche CRLs abzurufen und zu durchsuchen.

Hierbei handelt es sich um eine digital signierte Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. In einer CRL erfasste Zertifikate sind nicht mehr gültig.

Digitale Zertifikate sind ein wesentlicher Bestandteil einer PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel). Zertifikate werden von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt, die die Richtigkeit der im Zertifikat enthaltenen Informationen sicherstellt. Jedes Zertifikat enthält Identifizierungsinformationen über den Zertifikatseigentümer, eine Kopie des öffentlichen Schlüssels des Zertifikatseigentümers (zum Ver- und Entschlüsseln von Nachrichten und digitalen Signaturen) und die von der Zertifizierungsstelle erstellte digitale Signatur des Zertifikatsinhalts. Anhand dieser Signatur bestätigt der Empfänger, dass das Zertifikat nicht manipuliert wurde und vertrauenswürdig ist.

Wenn die CRL-Prüfung aktiviert ist, sucht Reflection grundsätzlich an allen Speicherorten nach CRLs, die im Feld für den CRL-Verteilungspunkt (CDP, CRL Distribution Point) des Zertifikats angegeben sind. Außerdem kann Reflection so konfiguriert werden, dass unter Verwendung eines OCSP-Responders oder in einem LDAP-Verzeichnis gezielt nach CRLs gesucht wird.

Standardprotokoll, mit dem Sie Informationen an einem zentralen Speicherort ablegen und an Benutzer verteilen können.

Die Reflection-Standardeinstellung für die CRL-Prüfung hängt von Ihren aktuellen Systemeinstellungen ab. Wenn Ihr System für die Ausführung der CRL-Prüfung konfiguriert ist, wird sie für alle Reflection-Sitzungen standardmäßig ausgeführt.

Hinweis: Wenn Reflection im DOD PKI-Modus ausgeführt wird, ist die Prüfung auf zurückgezogene Serverzertifikate permanent aktiviert und kann nicht deaktiviert werden.

So aktivieren Sie die CRL-Prüfung für alle SSH-Sitzungen

Wählen Sie in Internet Explorer Extras > Internetoptionen > Erweitert.
Aktivieren Sie unter Sicherheit das Kontrollkästchen Auf gesperrte Serverzertifikate überprüfen.

Mit Reflection können Sie die Prüfung des Zertifikat-Gültigkeitsstatus mit einem CRL- oder OCSP-Responder aktivieren.

So aktivieren Sie die CRL-Prüfung für Secure Shell-Sitzungen

Öffnen Sie das Dialogfeld Reflection Secure Shell-Einstellungen.
Klicken Sie auf die Registerkarte PKI.
Aktivieren Sie das Kontrollkästchen OCSP benutzen oder CRL benutzen.

So aktivieren Sie die CRL-Prüfung für SSL-/TLS-Sitzungen

Öffnen Sie das Dialogfeld Sicherheitseigenschaften.
Klicken Sie in der Registerkarte SSL/TLS auf die Schaltfläche PKI konfigurieren. (Die Option SSL-/TLS-Sicherheit verwenden muss aktiviert sein.)
Aktivieren Sie das Kontrollkästchen OCSP benutzen oder CRL benutzen.

Hinweis: Die für ein Zertifikat erforderlichen CRLs und/oder OCSP-Responder sind in der AIA- und/oder der CDP-Erweiterung des Zertifikats angegeben. Wenn diese Informationen nicht im Zertifikat angegeben sind, können Sie sie in den Registerkarten OCSP und LDAP des Reflection-Zertifikatmanagers konfigurieren.