Konfiguration von PKI Services Manager unter Windows
Um die Clienthostauthentifizierung mit Zertifikaten konfigurieren zu können, müssen Sie Reflection PKI Services Manager installieren und konfigurieren. Führen Sie folgende erste Schritte aus. Sie haben viele Variationsmöglichkeiten. Weitere Informationen zu den einzelnen Schritten finden Sie im Reflection PKI Services Manager-Benutzerhandbuch, das über die PKI Services Manager-Konsole und auf http://support.attachmate.com/manuals/pki.html verfügbar ist.
Vor dem Beginn
-
Bestimmen Sie, welche vertrauenswürdigen Zertifikate und welche Zwischenzertifikate zur Validierung des Zertifikats erforderlich sind, das der Host vorlegt, zu dem Sie eine Verbindung herstellen möchten. PKI Services Manager kann Zertifikatdateien verwenden, die Sie auf Ihr System kopiert haben, oder auch vertrauenswürdige Stammzertifikate, die im Windows-Zertifikatspeicher zur Verwendung durch den lokalen Computer installiert sind.
-
Legen Sie fest, wie die Überprüfung auf gesperrte Serverzertifikate für das Hostzertifikat gehandhabt werden soll. Sie können PKI Services Manager für die Verwendung von Zertifikatswiderrufslisten (CRL, Certificate Revocation List), des OCSP-Responders oder zur Kontaktaufnahme zu einem im Zertifikat angegebenen CRL-Verteilungspunkt konfigurieren.
So konfigurieren Sie PKI Services Manager
-
Melden Sie sich als Administrator auf dem Computer an, auf dem PKI Services Manager ausgeführt wird.
-
Starten Sie die PKI Services Manager-Konsole:
Programme > Attachmate Reflection > Dienstprogramme > PKI Services Manager
-
Legen Sie eine Kopie der Zertifikate, die Sie als Vertrauensanker festlegen möchten, in Ihrem lokalen Zertifikatspeicher ab. Beispiel:
C:\ProgramData\Attachmate\ReflectionPKI\local-store
(Dieser Schritt ist nicht erforderlich, wenn Sie Zertifikate im Windows-Zertifikatspeicher verwenden oder eine Kopie des Vertrauensankers haben, der in Ihrem System verfügbar ist.)
-
Fügen Sie im Bereich Trusted Chain (Vertrauenskette) Ihren (bzw. Ihre) Vertrauensanker zur Liste der Vertrauensanker hinzu.
Verwendung eines Zertifikatspeichers Vorgehensweise Ihr lokaler Zertifikatspeicher oder eine Zertifikatdatei in Ihrem System Klicken Sie auf Hinzufügen. Wählen Sie dann entweder Local store certificate (Zertifikat aus lokalem Speicher) oder Certificate file (Zertifikatdatei) aus, klicken Sie auf Browse (Durchsuchen) und wählen Sie das Zertifikat für Ihren Vertrauensanker aus. Windows-Zertifikatspeicher 1. Wählen Sie unter Search order to use when building path to trust anchor (Suchreihenfolge beim Erstellen des Pfads zum Vertrauensanker) die Option „Windows certificate store“ (Windows-Zertifikatspeicher) aus. 2. Klicken Sie auf Add (Hinzufügen). 3. Wählen Sie im Dialogfeld „Add Trust Anchor“ (Vertrauensanker hinzufügen) die Option Windows certificate (Windows-Zertifikat) aus und klicken Sie dann auf ** Browse** (Durchsuchen), um ein verfügbares Zertifikat auszuwählen. Hinweis: PKI Services Manager verwendet nur Zertifikate, die zur Verwendung auf dem lokalen Computer installiert sind (nicht Zertifikate, die für den aktuellen Benutzer installiert sind) und sich entweder in der Liste der vertrauenswürdigen Stammzertifizierungsstellen oder der vertrauenswürdigen Zwischenzertifizierungsstellen befinden. In der Microsoft-Verwaltungskonsole können Sie die Zertifikate für den lokalen Computer anzeigen und verwalten. Fügen Sie das Zertifikat-Snap-In hinzu, und konfigurieren Sie es für die Verwaltung von Zertifikaten für das Computerkonto. -
Konfigurieren Sie im Bereich Revocation (Sperrung) die Zertifikatsperrüberprüfung.
Hinweis
Standardmäßig sucht PKI Services Manager im lokalen Speicher nach Zertifikatswiderrufslisten. Wenn Sie diese Konfiguration verwenden, müssen Sie die Zertifikatswiderrufslisten in den lokalen Zertifikatspeicher kopieren.
-
Klicken Sie im Bereich Identity Mapper (Identität zuordnen) auf Add (Hinzufügen) um zu ermitteln, welche Clienthosts zur Authentifizierung ein gültiges Zertifikat vorlegen können.
Wenn beispielsweise Clienthosts eine Verbindung herstellen können sollen, wenn im Zertifikat der Hostname als Wert für den allgemeinen Namen des Betrefffelds angegeben ist:
-
Setzen Sie ** Select type of certificate that is to be mapped** (Zertifikattyp für Zuordnung auswählen) auf Host Certificate (Hostzertifikat)..
-
Klicken Sie auf den Dropdownpfeil für Choose certificate identity to insert (Zertifikatidentität zum Einfügen auswählen) und wählen Sie „Subject Common Name“ (Allgemeiner Antragstellername) aus.
Weitere Informationen zu Zuordnungsregeln finden Sie in der Dokumentation zu PKI Services Manager.
-
-
Klicken Sie auf File > Save (Datei > Speichern).
-
Starten Sie den PKI Services Manager-Dienst, wenn er nicht bereits ausgeführt wird. Wenn der Dienst bereits ausgeführt wird, laden Sie Ihre Einstellungen neu (Server > Reload (Server > Neu laden).
Weitere Informationen