Ablauf des zertifikats und zertifikatsperrprüfung, Quelle der client- und serverzertifikate, Offlinemodus – HP Systems Insight Manager Benutzerhandbuch

Ablauf des Zertifikats und Zertifikatsperrprüfung

HP SIM unterstützt Zertifikatssperrprüfungen. Standardmäßig ist die Sperrprüfung für Client- und
für Serverzertifikate aktiviert. Die Serverzertifikate werden jedoch nur der Sperrprüfung unterzogen,
wenn Sie die Option Require Trusted Certificate (Vertrauenswürdige Zertifikate erforderlich) unter
Options (Optionen)

→Security (Sicherheit)→Credentials (Anmeldedaten)→Trusted Systems

(Vertrauenswürdige Systeme)

→Trusted Certificates (Vertrauenswürdige Zertifikate) aktiviert haben.

Die Zertifikatssperrprüfung können Sie mit der GUI konfigurieren, indem Sie Options
(Optionen)

→Security (Sicherheit)→Certificate Revocation Configuration Check

(Zertifikatssperrkonfigurationsprüfung) wählen.

Sie können die Zertifikatssperrprüfung auch konfigurieren, indem Sie den Befehl: mxcert -L auf
der Befehlszeile eingeben.

Quelle der Client- und Serverzertifikate

Die Clientzertifikate werden vom Webportal, von Partneranforderungen und von den
WBEM-Diensten an HP SIM gesendet.

Die Serverzertifikate werden von verwalteten Systemen an HP SIM gesendet.

Aktivieren oder Deaktivieren der Zertifikatssperrprüfung

HP SIM ermöglicht das Deaktivieren der Zertifikatssperrprüfung für Server- und für Clientzertifikate.
Das Deaktivieren der Zertifikatssperrprüfung für Clientzertifikate wirkt sich nicht auf die
2-Faktor-Authentifizierung aus, bei der das als Benutzerzertifikat bezeichnete Clientzertifikat immer
auf Sperrung geprüft wird.

Das Aktivieren der Zertifikatssperrprüfung kann sich auf die Systemleistung auswirken, weil das
System im Rahmen der Sperrprüfung die Zertifikatssperrliste (Certificate Revocation List = CRL) vom
Zertifikatsserver herunterladen muss. Die CRL-Datei mit der Zertifikatssperrliste wird nur
heruntergeladen, wenn noch keine mit dem Zertifikat verknüpfte CRL-Datei auf dem Server
zwischengespeichert wurde bzw. die zwischengespeicherte CRL-Datei abgelaufen ist.

Das Aktivieren oder Deaktivieren der Zertifikatssperrprüfung macht keinen Neustart von HP SIM
erforderlich.

Offlinemodus und Onlinemodus der Zertifikatssperrprüfung

Die Zertifikatssperrprüfung kann offline und/oder online durchgeführt werden.

Offlinemodus

Der Offlinemodus ist der Standardmodus der Zertifikatssperrprüfung. Der Offlinemodus erwartet
eine zwischengespeicherte Version der CRL-Dateien im System. Sie müssen die mit den Zertifikaten
verknüpften CRL-Dateien regelmäßig in einem von HP SIM gepflegten Verzeichnis aktualisieren.
In Windows lautet dieses Verzeichnis \data\crl und in Linux/HPUX lautet dieses Verzeichnis
/var/opt/mx/data/crl

.

Warnung zum Ablauf einer CRL-Datei

Wenn einer der CRL-Dateien in diesem Verzeichnis abgelaufen ist, sendet HP SIM eine Warnung
an das System. Diese Warnungen werden auf der Seite „All Events“ (Alle Ereignisse) angezeigt.

Mit diesem Alarm soll der Benutzer an das Aktualisieren des CRL-Verzeichnisses mit den aktuellen
CRL-Dateien erinnert werden.

Unten wird die Konfiguration einiger Einstellungen beschrieben, die für CRL-Warnungen relevant
sind.

Onlinemodus

Der Onlinemodus kann optional aktiviert werden. Durch das Aktivieren des Onlinemodus wird die
CRL-Prüfung im Offlinemodus nicht umgangen.

Verwaltung von Anmeldedaten

119