Configurazione OCSP

La pagina Configurazione OCSP mostra le configurazioni del responder OCSP nell'archivio dati del certificato (CDS). Da questa pagina, è possibile aggiungere le configurazioni OCSP.
casso13it
HID_ocsp-list-and-config
La pagina Configurazione OCSP mostra le configurazioni del responder OCSP nell'archivio dati del certificato (CDS). Da questa pagina, è possibile aggiungere le configurazioni OCSP.
2
Elenco configurazioni OCSP
La finestra di dialogo contiene le seguenti informazioni:
Filtro configurazioni OCSP
È possibile limitare la visualizzazione dell'elenco configurazioni OCSP. È possibile applicare il filtro per un insieme di opzioni ai fini della ricerca.
È possibile applicare il filtro in base a:
  • Alias
  • Responder
  • Alias responder
  • Alias di firma
Per specificare un filtro di ricerca
  1. Accedere alla finestra di dialogo Configurazione OCSP.
  2. Attenersi alle linee guida seguenti per configurare la ricerca nella sezione Filtro configurazioni OCSP:
    1. Selezionare l'elemento da cercare nel campo Cerca. 
    2. Selezionare un operatore dal menu a discesa nel campo centrale.
    3. Immettere una stringa non racchiusa tra virgolette nel terzo campo. La stringa è il valore del filtro di ricerca.
      : per recuperare l'elenco completo, lasciare il terzo campo vuoto. È possibile immettere anche <ANY> o un asterisco (*). Non è possibile utilizzare l'asterisco come carattere jolly integrato. Ad esempio, è possibile immettere l'asterisco da solo, ma non il valore
      partner*
      .
  3. Fare clic su Vai a per iniziare la ricerca.
Elenco configurazioni OCSP
L'elenco visualizza tutti i responder OCSP disponibili nel CDS. Prestare particolare attenzione alle seguenti colonne:
  • Alias
    Visualizza l'alias associato alla voce dell'elenco.
  • Responder
    Elenca il nome del responder OCSP.
Visualizzazione/Modifica/Eliminazione delle voci di elenco
Visualizzare, modificare o eliminare una voce selezionandola dall'elenco e scegliendo un'opzione dal menu Azione.
Configurazione del responder OCSP
La finestra di dialogo Aggiungi configurazione OCSP consente di aggiungere una voce di responder OCSP al CDS. 
La finestra di dialogo contiene le seguenti opzioni:
  • Alias autorità di certificazione
    Alias del certificato dell'autorità di certificazione che fornisce il servizio OCSP.
     
  • Abilita proxy HTTP
    (Facoltativo) Indica al Policy Server di inviare la richiesta OCSP al server proxy e non al server Web. Se si seleziona questa opzione, vengono visualizzati i seguenti campi:
    • Percorso HTTP proxy
      - consente di specificare l'URL del server proxy. Questo valore è obbligatorio se HttpProxyEnabled è impostato su Sì. Immettere un URL che inizi con http://. 
      Nota
      : Non immettere un URL che inizi con https://. 
    • Nome utente HTTP proxy
      - le credenziali di accesso al server proxy. Questo nome utente deve essere il nome di un utente valido del server proxy. Immettere una stringa alfanumerica.
    • Password HTTP proxy
      - La password per il nome utente del server proxy. Questa password deve essere una voce valida nella configurazione utente proxy. Immettere una stringa alfanumerica. 
  • Periodo di tolleranza
    (Facoltativo) Specifica il periodo (in giorni) di sospensione dell'invalidamento di un certificato dopo la sua revoca. Il periodo di tolleranza OCSP dà il tempo di aggiornare i certificati in modo che la configurazione non smetta di funzionare improvvisamente. Se questo campo viene impostato su 0, un certificato revocato diventa immediatamente non valido.
    Se non si specifica un valore, il sistema utilizza il periodo di tolleranza della revoca predefinito nelle impostazioni CDS.
     
  • DN autorità di certificazione secondaria 
    (Facoltativo) Specifica un DN autorità di certificazione secondaria o un DN inverso per l'autorità di certificazione CA.
     
  • Ignora estensione nonce
    (Facoltativo) Indica al sistema di non includere il nonce nella richiesta OCSP quando si seleziona questa casella di controllo. Il nonce (numero che viene utilizzato una sola volta) è un numero univoco. Questo numero viene talvolta incluso nelle richieste di autenticazione per impedire il riutilizzo di una risposta.
     
  • Usa estensione AIA
    (Facoltativo) Specifica se il sistema utilizza l'estensione AIA (Authority Information Access) nel certificato per individuare le informazioni di convalida.
    È possibile utilizzare le impostazioni Usa estensione AIA o Posizione responder, ma è opportuno ricordare quanto segue:
    • Se l'impostazione Usa estensione AIA viene selezionata e l'impostazione Posizione responder non è configurata, il sistema utilizza l'estensione AIA nel certificato per la convalida. L'estensione deve trovarsi nel certificato.
    • Se si utilizza l'impostazione Usa estensione AIA ed è anche stato selezionato un valore per l'impostazione Posizione responder, il sistema utilizza Posizione responder per la convalida. L'impostazione Posizione responder ha la precedenza sull'estensione AIA.
    • Se l'impostazione Usa estensione AIA non viene selezionata, il sistema utilizza l'impostazione Posizione responder. Se l'estensione AIA esiste, il sistema la ignora.
       
  • Posizione responder
    (Facoltativo) Indica il percorso del server del responder OCSP. 
    È possibile utilizzare l'impostazione Posizione responder o l'impostazione Usa estensione AIA, ma è opportuno ricordare le condizioni seguenti:
    • Se l'impostazione Posizione responder viene lasciata vuota, selezionare l'impostazione Usa estensione AIA. Inoltre, è necessario che nel certificato vi sia un'estensione AIA.
    • Se l'impostazione Posizione responder contiene un valore ed è stata selezionata l'impostazione Usa estensione AIA, il sistema utilizza la Posizione responder per la convalida. L'impostazione Posizione responder ha la precedenza sull'estensione AIA.
    • Se il responder OCSP specificato per questa impostazione non è attivo ed è stata selezionata l'impostazione Usa estensione AIA, l'autenticazione non riesce. Il sistema non prova il responder specificato nell'estensione AIA del certificato.
    Se si immette una posizione, immettere il valore nel modulo responder_server_url:port_number.
    Immettere un URL e un numero di porta per il server del responder.
     
  • Alias di certificato del responder 
    (obbligatorio solo per la federazione). Fornisce un nome all'alias del certificato che verifica la firma della risposta OCSP. Perché il sistema esegua la verifica della firma della risposta, specificare un alias per questa impostazione. Altrimenti, per l'autorità di certificazione CA non è disponibile alcuna configurazione OCSP.
    Nota
    il sistema non utilizza questa impostazione per l'autenticazione del certificato X.509.
    Immettere una stringa che fornisce un nome all'alias.
     
  • Abilita richiesta firmata
    (Facoltativo) Fornisce al sistema l'istruzione per firmare la richiesta OCSP generata. Selezionare questa casella di controllo per utilizzare la funzionalità di firma. 
    Questo valore è indipendente da qualsiasi firma di certificato dell'utente ed è rilevante soltanto per la richiesta OCSP.
    Questa impostazione è obbligatoria solamente se il responder OCSP richiede richieste firmate. Se si seleziona questa opzione, vengono visualizzati i seguenti campi:
    • Alias di firma
      - Specifica l'alias per la coppia chiave/certificato che firma la richiesta OCSP che viene inviata al responder OCSP. Questa coppia chiave/certificato deve essere inclusa in CDS. Immettere un alias utilizzando i caratteri alfanumerici minuscoli ASCII.
       
    • Digest di firma
      Facoltativo. Indica l'algoritmo utilizzato dal Policy Server per la firma della richiesta OCSP. Questa impostazione non effettua la distinzione tra lettere maiuscole e minuscole.
      Immettere una delle seguenti opzioni: SHA1, SHA224, SHA256, SHA384 o SHA512
      Impostazione predefinita
      : SHA1
       
  • Abilita failover di validità del certificato
    (Facoltativo) Fornisce al sistema l'istruzione per eseguire il failover tra i metodi di convalida del certificato OCSP e CRL. Se si seleziona questa opzione, verrà visualizzato il seguente campo:
    • Metodo di convalida principale
      - Indica se OCSP o CRL costituiscono il metodo utilizzato dal Policy Server per la convalida dei certificati. Selezionare OCSP o CRL.
      Impostazione predefinita
      : OCSP