OCSP-Konfiguration
Die Seite "OCSP-Konfiguration" zeigt die Konfigurationen des OCSP-Responder im Zertifikatsdatenspeicher (CDS) an. Sie können die OCSP-Konfigurationen aus dieser Seite hinzufügen.
casso126figsbrde
HID_ocsp-list-and-config
Die Seite "OCSP-Konfiguration" zeigt die Konfigurationen des OCSP-Responder im Zertifikatsdatenspeicher (CDS) an. Sie können die OCSP-Konfigurationen aus dieser Seite hinzufügen.
2
OCSP-Konfigurationsliste
Das Dialogfeld enthält folgende Informationen:
OCSP-Konfigurationen filtern
Sie können sich die Anzeige in der Liste "OCSP-Konfiguration" einschränken. Sie können mehrere Optionen filtern, um die Suche zu definieren.
Sie können nach folgenden Kriterien filtern:
- Alias
- Responder
- Responder-Alias
- Signatur-Alias
So geben Sie einen Suchfilter an
- Beginnen Sie mit dem Dialogfeld "OCSP-Konfiguration".
- Konfigurieren Sie die Suche im Abschnitt "OCSP-Konfigurationen filtern", indem Sie folgende Richtlinien verwenden:
- Wählen Sie im Feld "Suchen nach" aus, was Sie suchen möchten.
- Wählen Sie einen Operator aus dem Pull-down-Menü im mittleren Feld aus.
- Geben Sie eine Zeichenfolge, die nicht in Anführungszeichen steht, in das dritte Feld ein. Diese Zeichenfolge ist der Wert des Suchfilters.Wichtig!Um die vollständige Liste abzurufen, lassen Sie das dritte Feld leer. Sie können auch <BELIEBIG> oder ein Sternchen (*) eingeben. Sie können das Sternchen nicht als eingebettetes Platzhalterzeichen verwenden. Zum Beispiel können Sie das Sternchen allein eingeben, aber Sie können nichtPartner*als Wert eingeben.
- Klicken Sie auf "Los", um die Suche zu initiieren.
OCSP-Konfigurationsliste
Die Liste zeigt alle verfügbaren OCSP-Responder im CDS an. Beachten Sie insbesondere die folgenden Spalten:
- AliasZeigt den Alias an, der dem Listeneintrag zugeordnet ist.
- ResponderGibt den Namen des OCSP-Responder an.
Anzeigen/Ändern/Löschen von Listeneinträgen
Sie können einen Eintrag anzeigen, ändern oder löschen, indem Sie ihn aus der Liste auswählen und eine Option im Menü "Aktionen" auswählen.
OCSP-Responder-Konfiguration
Im Dialogfeld "OCSP-Konfiguration hinzufügen" können Sie eine OCSP-Responder-Eingabe zum CDS hinzufügen.
Das Dialogfeld enthält folgende Einstellungen:
- Aussteller-AliasAlias des Zertifizierungsstellen-Zertifikats, das den OCSP-Service bereitstellt.
- HTTP-Proxy aktivieren(Optional) Weist den Richtlinienserver an, die OCSP-Anforderung an den Proxy-Server und nicht an den Webserver zu senden. Wenn Sie diese Option auswählen, werden die folgenden Felder angezeigt:
- HTTP-Proxy-Standort- Gibt die URL des Proxy-Servers an. Dieser Wert ist nur erforderlich, wenn "HttpProxyEnabled" auf "Ja" gesetzt ist. Geben Sie eine URL ein, die mit http:// beginnt.Hinweis:Geben Sie keine URL ein, die mit "https://" beginnt.
- HTTP-Proxy-Benutzername- Die Anmeldeinformationen für den Proxy-Server. Dieser Benutzername muss der Name eines gültigen Benutzers des Proxy-Servers sein. Geben Sie eine alphanumerische Zeichenfolge ein.
- HTTP-Proxy-Kennwort- Das Kennwort für den Benutzernamen des Proxy-Servers. Dieses Kennwort muss ein gültiger Eintrag in der Proxy-Benutzerkonfiguration sein. Geben Sie eine alphanumerische Zeichenfolge ein.
- Kulanzzeitraum(Optional) Gibt den Zeitraum (in Tagen) an, während dessen die Aufhebung eines Zertifikat aufgeschoben wird, nachdem es widerrufen wurde. Der OCSP-Verlängerungszeitraum gibt Ihnen Zeit, um Zertifikate zu aktualisieren, damit die Konfiguration nicht plötzlich zu funktionieren aufhört. Wenn Sie dieses Feld auf 0 setzen, werden Zertifikate nach Widerruf sofort ungültig.Wenn Sie keinen Wert angeben, verwendet das System den standardmäßigen Verlängerungszeitraum aus den CDS-Einstellungen.
- Sekundärer Aussteller-DN(Optional) Gibt einen sekundärer Aussteller-DN oder umgekehrten DN für den Aussteller des Zertifizierungsstellen-Zertifikats an.
- Nonce-Erweiterung ignorieren(Optional) Wenn Sie dieses Kontrollkästchen aktivieren, ist das System angewiesen, kein Nonce in die OCSP-Anforderung einzuschließen. Die Nonce (Zahl, die einmal verwendet wird) ist eine eindeutige Nummer. Diese Nummer ist manchmal in Authentifizierungsanforderungen enthalten, um die Wiederverwendung einer Antwort zu verhindern.
- AIA-Erweiterung verwenden(Optional) Gibt an, ob das System zum Suchen der Validierungsinformationen im Zertifikat die Authority Information Access-Erweiterung (AIA) verwendet.Sie können die Einstellungen "AIA-Erweiterung verwenden" und "Speicherort des Responders" verwenden. Beachten Sie jedoch die folgenden Informationen:
- Wenn Sie die Einstellung "AIA-Erweiterung verwenden" auswählen und kein Responder-Speicherort konfiguriert ist, verwendet das System für die Validierung die AIA-Erweiterung im Zertifikat. Die Erweiterung muss im Zertifikat vorhanden sein.
- Wenn Sie die Einstellung "AIA-Erweiterung verwenden" auswählen und die Einstellung "Responder-Speicherort" auch einen Wert hat, verwendet das System für die Validierung den Responder-Speicherort. Die Einstellung "Responder-Speicherort" hat Vorrang vor der AIA-Erweiterung.
- Wenn die Einstellung "AIA-Erweiterung verwenden" nicht aktiviert ist, verwendet das System die Einstellung "Responder-Speicherort". Wenn die AIA-Erweiterung vorhanden ist, wird sie vom System ignoriert.
- Speicherort des Responders(Optional) Gibt den Speicherort des Servers für den OCSP-Responder an.Sie können die Einstellungen "Responder-Speicherort" und "AIA-Erweiterung verwenden" verwenden. Beachten Sie jedoch die folgenden Bedingungen:
- Wenn die Einstellung "Responder-Speicherort" leer gelassen wird, wählen Sie die Einstellung "AIA-Erweiterung verwenden" aus. Zusätzlich muss eine AIA-Erweiterung im Zertifikat vorhanden sein.
- Wenn ein Wert für die Einstellung "Responder-Speicherort" vorhanden ist und "AIA-Erweiterung verwenden" ausgewählt wird, verwendet das System für die Validierung den Responder-Speicherort. Die Einstellung "Responder-Speicherort" hat Vorrang vor der AIA-Erweiterung.
- Wenn der OCSP-Responder, der für diese Einstellung angegeben ist, außer Betrieb ist und die Einstellung "AIA-Erweiterung verwenden" ausgewählt ist, schlägt die Authentifizierung fehl. Das System versucht in diesem Fall nicht, den Responder, der in der AIA-Erweiterung des Zertifikats angegeben ist, zu verwenden.
Geben Sie URL und Portnummer des Responder-Servers ein. - Zertifikat-Alias des Responders(Nur für Federation erforderlich). Benennt den Alias des Zertifikats, das die Signatur der OCSP-Antwort überprüft. Damit das System die Antwortsignatur prüft, geben Sie einen Alias für diese Einstellung an. Anderenfalls steht dem Aussteller der Zertifizierungsstelle keine OCSP-Konfiguration zur Verfügung.Hinweis:Das System verwendet diese Einstellung nicht für X.509-Zertifikatsauthentifizierung.Geben Sie eine Zeichenfolge ein, die den Alias benennt.
- Signierte Anforderung aktivieren(Optional) Weist das System an, die generierte OCSP-Anforderung zu signieren. Aktivieren Sie dieses Kontrollkästchen, um die Signaturfunktion zu verwenden.Dieser Wert ist von Benutzerzertifikatssignaturen unabhängig und nur für die OCSP-Anforderung relevant.Diese Einstellung ist nur erforderlich, wenn der OCSP-Responder signierte Anforderungen benötigt. Wenn Sie diese Option auswählen, werden die folgenden Felder angezeigt:
- Signatur-Alias- Gibt den Alias für das Schlüssel-/Zertifikatspaar an, das die OCSP-Anforderung signiert, die an einen OCSP-Responder gesendet wird. Dieses Schlüssel-/Zertifikatspaar muss im CDS sein. Geben Sie einen Alias mithilfe von Kleinbuchstaben in alphanumerischen ASCII-Zeichen ein.
- Signatur-DigestOptional. Legt den Algorithmus fest, den der Richtlinienserver verwendet, wenn die OCSP-Anforderung signiert wird. Bei dieser Einstellung wird die Groß-/Kleinschreibung nicht berücksichtigt.Geben Sie eine der folgenden Optionen ein: SHA1, SHA224, SHA256, SHA384 und SHA512Standard:SHA1
- Failover der Zertifikatsgültigkeit aktivieren(Optional) Weist das System an, ein Failover zwischen OCSP- und CRL-Zertifikatsvalidierungsmethoden durchzuführen. Wenn Sie diese Option auswählen, wird folgendes Feld angezeigt:
- Primäre Validierungsmethode- Gibt an, ob OCSP oder CRL die primäre Methode ist, die der Richtlinienserver verwendet, um Zertifikate zu validieren. Wählen Sie OCSP oder CRL.Standard:OCSP