Möglichkeiten zum aktivieren des onlinemodus, Crl-verteilungspunkte, Warnung oder fehler – HP Systems Insight Manager Benutzerhandbuch

Wenn die mit einem Zertifikat verknüpfte CRL-Datei im oben angegebenen Verzeichnis nicht existiert
oder die zwischengespeicherte CRL-Datei abgelaufen ist, kann HP SIM die Zertifikatssperrprüfung
durchführen, sofern der Onlinemodus aktiviert wurde. Wenn der Onlinemodus aktiviert ist, versucht
HP SIM, die CRL-Datei vom Zertifikatsserver herunterzuladen. Nach dem Herunterladen der CRL-Datei
speichert HP SIM die Datei im obigen Verzeichnis zwischen.

Möglichkeiten zum Aktivieren des Onlinemodus

Es gibt zwei Möglichkeiten zum Aktivieren des Onlinemodus. Dies kann über die Proxyeinstellungen
oder direkt geschehen.

Für die erste Methode müssen Sie die Hausadresse und den Port des Proxyservers speichern.

Die zweite Methode unterstellt, dass der Zertifikatsserver mit dem CMS-Server ohne konfigurierte
Proxyeinstellungen erreichbar ist. Beispiel: Der Zertifikatsserver befindet sich in demselben Intranet
wie der CMS-Server.

Künftig werden die Proxyeinstellungen zentral in HP SIM gespeichert.

CRL-Verteilungspunkte

HP SIM erwartet, dass das Zertifikat die CRL-Verteilungspunkte enthält und dass die
CRL-Verteilungspunkt-URLs gültig sind. Es kann also zu einem Fehlschlagen der Sperrprüfung
kommen, wenn einer der CRL-Verteilungspunkte eine ungültige URL enthält.

HP SIM verarbeitet ausschließlich HTTP-Verteilungspunkt-URLs. Wenn ein Zertifikat keine
HTTP-Verteilungspunkt-URL enthält, schlägt die Zertifikatssperrprüfung fehl.

Warnung oder Fehler

Wenn die Zertifikatssperrprüfung nicht erfolgreich ausgeführt werden kann, protokolliert HP SIM
eine entsprechende Warnung, unterbricht aber die Verbindung zum Peer-System nicht. Die
Verbindung wird nur unterbrochen, wenn HP SIM feststellt, dass das Zertifikat gesperrt wurde.

Wenn die Sperrprüfung im Rahmen der 2-Faktor-Authentifizierung fehlschlägt oder das Zertifikat
gesperrt wurde, darf sich der Benutzer nicht beim CMS anmelden.

Warnbedingungen

•

CRL-Verteilungspunkt ist nicht im Zertifikat enthalten

•

CRL-Verteilungspunkt enthält keine HTTP-URL

•

CRL-Datei ist nicht im CRL-Verzeichnis verfügbar oder abgelaufen und kann nicht von der
CRL-Verteilungspunkt-URL heruntergeladen werden

Konfigurierbare Eigenschaften

Es gibt einige wenige CRL-Eigenschaften, die in der Datei globalsettings.props im
HP SIM-Verzeichnis \config konfiguriert werden können. Die CRL-GUI oder die Befehlszeile
unterstützt möglicherweise nicht alle dieser Einstellungen.

•

Timeoutwert für das Herunterladen der CRL-Datei:

Eigenschaftsname: CRL_FETCH_TIMEOUT

Der Standardwert ist 10000 (10 s)

•

Der Ablaufzeitraum beträgt standardmäßig 1 Tag. Dieser Wert kann mit folgender Eigenschaft
angepasst werden:

Eigenschaftsname: CRLExpirationStart

Der Standardwert ist 1.

•

Wenn Sie keine Warnungen zum CRL-Ablauf erhalten möchten:

Eigenschaftsname: CRLAlert

120 Überblick über die HP SIM Sicherheit