Zertifikatsbasierte Authentifizierungstests

Inhalt
casso128figsbrde
Inhalt
2
Das Test-Tool simuliert die Benutzerauthentifizierung und -autorisierung. Zertifikatsbasierte Authentifizierungsschemen erfordern eine zusätzliche Konfiguration.
Unterschiedliche Tools für die Zertifikatsgenerierung können sich unter Umständen auf das Format des Aussteller-DN und auf andere Attribute eines Zertifikats auswirken.
Zum Beispiel könnte der Aussteller-DN für ein mit certutil.exe auf einem IIS-Webserver generiertes Zertifikat ST= verwenden, um den Status darzustellen. Allerdings könnte der Aussteller-DN für ein mit OpenSSL-Tools auf einem -iPlanet-Webserver generiertes Zertifikat möglicherweise S= verwenden, um den Status darzustellen.
casso128figsbrde
Hinweis
Weitere Informationen über die von einem spezifischen Zertifikatgenerierungstool tatsächlichen verwendeten Werte können Sie der von Ihrem Anbieter bereitgestellten Dokumentation für das Zertifikatgenerierungstool entnehmen.
Um zertifikatsbasierte Authentifizierungsschemen zu testen, konfigurieren Sie Zertifikatszuordnungen im Richtlinienserver, damit mit unterschiedlichen Zertifikatsgenerierungstools erstellte Zertifikate unterstützt werden können.
Zertifikatsattribute, die eine benutzerdefinierte Zuordnung erfordern
Einige gebräuchliche Zertifikatsattribute unterscheiden sich in Abhängigkeit des zum Generieren des Zertifikats verwendeten Drittanbietertools (beispielsweise certutil.exe oder OpenSSL) etwas. Unterschiede zwischen den folgenden Attributen könnten möglicherweise Fehler im Test-Tool verursachen:
  • E-Mail-Adresse
    Durch E oder E-Mail auf Grundlage des Anbieters des Zertifikatgenerierungstools dargestellt.
  • US-Bundesstaat
    Durch S oder ST auf Grundlage des Anbieters des Zertifikatgenerierungstools dargestellt.
  • Benutzer-ID-Nummer
    Durch UID oder UserID auf Grundlage des Anbieters des Zertifikatgenerierungstools dargestellt.
casso128figsbrde
Hinweis
Weitere Informationen über die von einem spezifischen Zertifikatgenerierungstool tatsächlichen verwendeten Werte können Sie der von Ihrem Anbieter bereitgestellten Dokumentation für das Zertifikatgenerierungstool entnehmen.
Benutzerdefinierte Attributzuordnungen für das Testen
Die Verwendung des Test-Tools für Zertifikatsauthentifizierungsschemas schlägt manchmal fehl, normalerweise funktioniert es jedoch (über einen Browser und den Webserver). Das Authentifizierungsprotokoll gibt an, dass das Test-Tool ein anderes Format des Aussteller-DN erwartet als das Aussteller-DN-Format des Zertifikats.
Dieser Fall tritt ein, wenn der Aussteller-DN und andere Attribute sich gemäß des Typs des verwendeten Zertifikatgenerierungs-Tools unterscheiden. Zum Beispiel kann das certutil.exe-Programm auf einem IIS-Webserver möglicherweise ST= verwenden, um den Namen des Status im Aussteller-DN abzukürzen. Die OpenSSL-Tools auf einem Oracle-iPlanet-Webserver könnten allerdings möglicherweise S= verwenden, um den Namen des Status abzukürzen.
casso128figsbrde
Hinweis
Weitere Informationen über die von einem spezifischen Zertifikatgenerierungstool tatsächlichen verwendeten Werte können Sie der von Ihrem Anbieter bereitgestellten Dokumentation für das Zertifikatgenerierungstool entnehmen.
Die Situation für die anderen unter Zertifikatsattribute, die eine benutzerdefinierte Zuordnung erfordern aufgelisteten Attribute ist ähnlich.
Um dieses Problem zu lösen, lassen Sie einen Administrator Zuordnungen für alle Aussteller-DN-Formate im Richtlinienserver erstellen. Anschließend kann der Richtlinienserver die durch unterschiedliche Zertifikatgenerierungstools erstellten Aussteller-DN-Formate akzeptieren.
Aussteller-DN-Zuordnung
Unterschiedliche Zertifikatsgenerierungstools (beispielsweise certutil.exe und OpenSSL) erstellen den Aussteller-DN auf unterschiedliche Weise. Zum Beispiel könnte ein Tool möglicherweise einen Aussteller-DN wie folgt erstellen:
CN=Personal Freemail RSA 2000.8.30, OU=Certificate Services, O=Thawte, L=Cape Town, S=Western Cape, C=ZA
Ein anderes Tool könnte möglicherweise einen Aussteller-DN wie folgt erstellen:
CN=Personal Freemail RSA 2000.8.30, OU=Certificate Services, O=Thawte, L=Cape Town, ST=Western Cape, C=ZA
Um mehrere Möglichkeiten zu unterstützen, lassen Sie Ihren Administrator Zuordnungen im Richtlinienserver für beide Aussteller-DN-Formate erstellen.
casso128figsbrde
Hinweis
Weitere Informationen über die von einem spezifischen Zertifikatgenerierungstool tatsächlichen verwendeten Werte können Sie der von Ihrem Anbieter bereitgestellten Dokumentation für das Zertifikatgenerierungstool entnehmen.
Erstellen von benutzerdefinierten Zertifikatszuordnungen
Sie können die Zertifikatszuordnungsfunktion des -Richtlinienservers verwenden, um benutzerdefinierte Zuordnungen für Zertifikate zu erstellen.
casso128figsbrde
Hinweis
In der folgenden Vorgangsbeschreibung wird davon ausgegangen, dass Sie ein Objekt erstellen. Sie können auch die Eigenschaften eines vorhandenen Objekts kopieren, um ein Objekt zu erstellen. Weitere Informationen finden Sie unter Duplicate Policy Server Objects (Duplizieren von Richtlinienserverobjekten).
Erstellen und Verwenden eines benutzerdefinierten Attributs in einer Zertifikatszuordnung
  1. Klicken Sie auf "Infrastruktur", "Verzeichnis".
  2. Klicken Sie auf "Zertifizierungszuordnung", "Zertifikatszuordnung erstellen".
    Der Bereich "Zertifikatszuordnung erstellen" wird geöffnet.
  3. Stellen Sie sicher, dass ein neues Objekt ausgewählt wurde, und klicken Sie auf "OK".
    Die Einstellungen der Zertifikatszuordnungen werden angezeigt.
    Klicken Sie auf "Hilfe" für detaillierte Feldbeschreibungen.
  4. Geben Sie den vollen Aussteller-DN ins Feld "Aussteller-DN" ein.
  5. Wählen Sie im Gruppenfeld "Zuordnung" das Optionsfeld "Benutzerdefiniert" aus.
    Das Feld "Zuordnungsausdruck" wird geöffnet.
  6. Geben Sie einen benutzerdefinierten Zuordnungsausdruck ein.
    Diese Angabe wird verwendet, um zwei unterschiedliche Attribute anzugeben, die für eine Zertifikatszuordnung akzeptiert werden.
    • Für E-Mail:
      %{E/Email}
    • Für ST:
      %{S/ST}
    • Für Benutzer-ID:
      %{UID/UserID}
    Weitere Informationen zu benutzerdefinierten Zuordnungsausdrücken finden Sie in Zertifikatsattribute, die eine benutzerdefinierte Zuordnung erfordern.
  7. Klicken Sie auf "Senden".
    Die benutzerdefinierte Zuordnung wird gespeichert. Der Richtlinienserver behandelt jetzt Anfragen von unterschiedlichen Zertifikatsgenerierungs-Tools (beispielsweise certutil.exe und OpenSSL) und des Test-Tools, in dem das E-Mail-Attribut im Aussteller-DN abweichend angegeben ist. Sie können diesen Vorgang für alle anderen in Zertifikatsattribute, die eine benutzerdefinierte Zuordnung erfordern erwähnten Attribute verwenden.