Konfiguration des PKI Services Manager unter UNIX

Um die Clienthostauthentifizierung mit Zertifikaten konfigurieren zu können, müssen Sie den Reflection PKI Services Manager installieren und konfigurieren. Führen Sie folgende erste Schritte aus. Sie haben viele Variationsmöglichkeiten. Weitere Informationen zu den einzelnen unten beschriebenen Schritten finden Sie im Reflection PKI Services Manager-Benutzerhandbuch (einzusehen in der PKI Services Manager-Konsole und erhältlich unter http://support.attachmate.com/manuals/pki.html).

Bevor Sie beginnen:

  • Installieren Sie den PKI Services Manager.
  • Beschaffen Sie das Zertifikat der vertrauenswürdigen Zertifizierungsstelle und jegliche Zwischenzertifikate, die zur Validierung des Zertifikats benötigt werden, welches der Host vorlegt, zu dem Sie eine Verbindung herstellen.
  • Legen Sie fest, wie die Überprüfung auf gesperrte Serverzertifikate für das Hostzertifikat gehandhabt werden soll. Sie können den PKI Services Manager für die Verwendung von CRL-Listen, des OCSP-Responders oder zur Kontaktaufnahme zu einem im Zertifikat angegebenen CRL-Verteilungspunkt konfigurieren.

So konfigurieren Sie den PKI Services Manager

  1. Melden Sie sich auf dem Reflection PKI Services Manager-Server als Root an.
  2. Installieren Sie den Reflection PKI Services Manager.
  3. Legen Sie eine Kopie der Zertifikate, die Sie als Vertrauensanker festlegen möchten, in Ihrem lokalen Zertifikatspeicher ab. Der Standardspeicher von PKI Services Manager befindet sich im folgenden Verzeichnis:

    /opt/attachmate/pkid/local-store

  4. Öffnen Sie die PKI Services Manager-Konfigurationsdatei in einem Texteditor. Standarddateiname und Speicherort:

    /opt/attachmate/pkid/config/pki_config

  5. Identifizieren Sie den Vertrauensanker mithilfe des Schlüsselworts TrustAnchor. Beispiel:

    TrustAnchor = trustedca.crt

    -oder-

    TrustAnchor = CN=SecureCA,O=Acme,C=US

    Hinweis: Wenn Sie mehrere Vertrauensanker konfigurieren möchten, fügen Sie weitere TrustAnchor-Zeilen hinzu.

  6. Konfigurieren Sie die Überprüfung auf gesperrte Serverzertifikate. Beispiel:

    Aktion

    Beispielkonfiguration

    Verwenden Sie auf einem LDAP-Server gespeicherte CRLs.

    RevocationCheckOrder = crlserver
    CRLServers=ldap://crlserver

    Verwenden Sie einen OCSP-Responder.

    RevocationCheckOrder = ocsp
    OCSPResponders = http://ocspresponder

    Hinweis: Der PKI Services Manager sucht standardmäßig im lokalen Speicher nach CRLs. Wenn Sie diese Konfiguration verwenden, müssen Sie die CRLs in den lokalen Speicher kopieren.

  7. Wenn für die Vertrauenskette Zwischenzertifikate erforderlich sind, müssen Sie den Zugriff auf diese Zertifikate konfigurieren. Beispiel:

    Aktion

    Beispielkonfiguration

    Verwenden Sie Zwischenzertifikate, die Sie Ihrem lokalen Speicher hinzugefügt haben.

    CertSearchOrder=local

    Verwenden Sie auf einem LDAP-Server gespeicherte Zertifikate.

    CertSearchOrder=certserver
    CertServers=ldap://ldapserver

  8. Speichern Sie Ihre Änderungen an der Konfigurationsdatei.
  9. Öffnen Sie die PKI Services Manager-Belegungsdatei in einem Texteditor. Standarddateiname und Speicherort:

    /opt/attachmate/pkid/config/pki_mapfile

  10. Fügen Sie eine oder mehrere Regeln hinzu, die festlegen, welche Clienthosts sich mit einem gültigen Zertifikat authentifizieren können. Wenn beispielsweise Clienthosts eine Verbindung herstellen können sollen, wenn im Zertifikat der Hostname als Wert für den allgemeinen Namen des Betrefffelds angegeben ist:

    RuleType = host
      {acme.com}

  11. Prüfen Sie, ob PKI Services Manager richtig konfiguriert ist:

    /usr/local/sbin/pkid -k

    No errors. Configuration is valid:

  12. Starten Sie Reflection PKI Services Manager erneut:

    /usr/local/sbin/pkid restart

Verwandte Themen

Dienste unter UNIX starten und beenden

Konfigurieren von Reflection X Advantage für die Verbindungsherstellung mit PKI Services Manager

Verwenden von PKI Services Manager mit Reflection X Advantage