Konfiguration von PKI Services Manager unter Linux
Um die Clienthostauthentifizierung mit Zertifikaten konfigurieren zu können, müssen Sie Reflection PKI Services Manager installieren und konfigurieren. Führen Sie folgende erste Schritte aus. Sie haben viele Variationsmöglichkeiten. Weitere Informationen zu den einzelnen Schritten finden Sie im Reflection PKI Services Manager-Benutzerhandbuch, das über die PKI Services Manager-Konsole und auf http://support.attachmate.com/manuals/pki.html verfügbar ist.
Vor dem Beginn
-
Beschaffen Sie das Zertifikat der vertrauenswürdigen Zertifizierungsstelle und jegliche Zwischenzertifikate, die zur Validierung des Zertifikats benötigt werden, welches der Host vorlegt, zu dem Sie eine Verbindung herstellen.
-
Legen Sie fest, wie die Überprüfung auf gesperrte Serverzertifikate für das Hostzertifikat gehandhabt werden soll. Sie können PKI Services Manager für die Verwendung von Zertifikatswiderrufslisten (CRL, Certificate Revocation List), des OCSP-Responders oder zur Kontaktaufnahme zu einem im Zertifikat angegebenen CRL-Verteilungspunkt konfigurieren.
So konfigurieren Sie Reflection PKI Services Manager
-
Melden Sie sich als root-Benutzer beim Reflection PKI Services Manager-Server an.
-
Installieren Sie Reflection PKI Services Manager.
-
Legen Sie eine Kopie der Zertifikate, die Sie als Vertrauensanker festlegen möchten, in Ihrem lokalen Zertifikatspeicher ab. Der Standardspeicher von PKI Services Manager befindet sich im folgenden Verzeichnis:
/opt/microfocus/pkid/local-store
-
Öffnen Sie die PKI Services Manager-Konfigurationsdatei in einem Texteditor. Standarddateiname und Speicherort:
/opt/attachmate/pkid/config/pki_config
-
Identifizieren Sie den Vertrauensanker mithilfe des Schlüsselworts TrustAnchor. Beispiel:
TrustAnchor = trustedca.crt
Alternativ:
TrustAnchor = CN=SecureCA,O=Acme,C=US
Hinweis
Wenn Sie mehrere Vertrauensanker konfigurieren möchten, fügen Sie weitere TrustAnchor-Zeilen hinzu.
-
Konfigurieren Sie die Überprüfung auf gesperrte Serverzertifikate. Beispiel:
in Beispielkonfiguration Verwenden Sie auf einem LDAP-Server gespeicherte CRLs. RevocationCheckOrder = crlserver CRLServers=ldap://crlserver Verwenden Sie einen OCSP-Responder. RevocationCheckOrder = ocsp OCSPResponders = http://ocspresponder Hinweis
Standardmäßig sucht PKI Services Manager im lokalen Speicher nach Zertifikatswiderrufslisten. Wenn Sie diese Konfiguration verwenden, müssen Sie die CRLs in den lokalen Zertifikatspeicher kopieren.
-
Wenn für die Vertrauenskette Zwischenzertifikate erforderlich sind, müssen Sie den Zugriff auf diese Zertifikate konfigurieren. Beispiel:
in Beispielkonfiguration Verwenden Sie Zwischenzertifikate, die Sie Ihrem lokalen Speicher hinzugefügt haben. CertSearchOrder=local
Verwenden Sie auf einem LDAP-Server gespeicherte Zertifikate. CertSearchOrder=certserver CertServers=ldap://ldapserver
-
Speichern Sie Ihre Änderungen in der Konfigurationsdatei.
-
Öffnen Sie die PKI Services Manager-Zuordnungsdatei in einem Texteditor. Standarddateiname und Speicherort:
/opt/attachmate/pkid/config/pki_mapfile
-
Fügen Sie eine oder mehrere Regeln hinzu, die festlegen, welche Clienthosts sich mit einem gültigen Zertifikat authentifizieren können. Wenn beispielsweise Clienthosts eine Verbindung herstellen können sollen, wenn im Zertifikat der Hostname als Wert für den allgemeinen Namen des Betrefffelds angegeben ist:
RuleType = host
{acme.com}
-
Überprüfen Sie, ob die PKI Services Manager-Konfiguration gültig ist:
/usr/local/sbin/pkid -k
No errors. Configuration is valid:
(Keine Fehler. Konfiguration ist gültig:) -
Starten Sie Reflection PKI Services Manager neu.
/usr/local/sbin/pkid restart
Weitere Informationen