Configurazione del controllo della revoca dei certificati

Le connessioni Reflection SSL/TLS e Secure Shell possono essere configurate in modo da autenticare gli host mediante certificati digitali Parte integrante di una PKI (Public Key Infrastructure). I certificati digitali (chiamati anche certificati X.509) sono emessi da un'autorità di certificazione (CA), che garantisce la validità delle informazioni nel certificato. Ogni certificato contiene informazioni di identificazione sul proprietario del certificato, una copia della chiave pubblica del proprietario del certificato (utilizzata per crittografare e decrittografare messaggi e firme digitali) e una firma digitale (generata dalla CA in base al contenuto del certificato). La firma digitale viene utilizzata da un destinatario per verificare che il certificato non sia stato alterato e che sia attendibile. . Per accertarsi che i certificati non siano revocati, è possibile configurare Reflection in modo che venga eseguito il controllo della revoca dei certificati mediante l'uso di CRL Un elenco firmato digitalmente di certificati che sono stati revocati dall'autorità di certificazione (CA). I certificati identificati in un CRL non sono più validi. (Certificate Revocation List) o di un responder OCSP Un protocollo (che utilizza il trasporto HTTP) che può essere utilizzato quale alternativa al controllo CRL per confermare la validità di un certificato. I responder OCSP rispondono alle richieste sullo stato dei certificati fornendo una delle tre risposte con firma digitale possibili: "good" (corretto), "revoked" (revocato) e "unknown" (sconosciuto). L'uso di OCSP elimina la necessità da parte dei server e/o dei client di recuperare e ordinare CRL di grosse proporzioni. .

Quando il controllo CRL è attivato, Reflection verifica sempre la presenza di CRL nelle posizioni specificate nel campo Punto di distribuzione CRL del certificato. Reflection può essere inoltre configurato in modo che venga eseguito il controllo di CRL presenti in una directory LDAP Protocollo standard utilizzabile per archiviare informazioni in una posizione centrale e distribuirle agli utenti. o mediante l'uso di un responder OCSP Un protocollo (che utilizza il trasporto HTTP) che può essere utilizzato quale alternativa al controllo CRL per confermare la validità di un certificato. I responder OCSP rispondono alle richieste sullo stato dei certificati fornendo una delle tre risposte con firma digitale possibili: "good" (corretto), "revoked" (revocato) e "unknown" (sconosciuto). L'uso di OCSP elimina la necessità da parte dei server e/o dei client di recuperare e ordinare CRL di grosse proporzioni. .

Il valore predefinito di Reflection per il controllo della revoca dei certificati si basa sull'impostazione attuale utilizzata dal sistema. Se nel sistema è configurata l'esecuzione del controllo CRL, come impostazione predefinita in tutte le sessioni di Reflection viene controllata la revoca dei certificati mediante CRL.

NOTA:Se Reflection viene eseguito nella modalità DOD PKI, la revoca dei certificati è sempre attivata e non può essere disattivata.

Per attivare il controllo CRL per tutte le sessioni SSH:

  1. In Internet Explorer, scegliere Strumenti > Opzioni Internet > Avanzate.

  2. In Protezione, selezionare Verifica revoca dei certificati del server.

In Reflection, è possibile attivare il controllo della revoca dei certificati mediante l'uso di un CRL o di un responder OCSP.

Per attivare il controllo CRL per una sessione Secure Shell

  1. Aprire la finestra di dialogo Impostazioni Reflection Secure Shell.

  2. Fare clic sulla scheda PKI.

  3. Selezionare Utilizza OCSP o Utilizza CRL.

Per attivare il controllo CRL per le sessioni SSL/TLS

  1. Aprire la finestra di dialogo Proprietà di protezione.

  2. Nella scheda SSL/TLS, fare clic su Configura PKI (l'opzione Utilizza protezione SSL/TLS deve essere selezionata).

  3. Selezionare Utilizza OCSP o Utilizza CRL.

NOTA:I CRL e/o i responder OCSP richiesti da un certificato sono indicati nell'estensione AIA e/o CDP del certificato. Se queste informazioni non sono fornite nel certificato, è possibile configurarle utilizzando le schede OCSP e LDAP del Gestore certificati Reflection.