Ablauf des zertifikats und zertifikatsperrprüfung, Quelle der client- und serverzertifikate, Offlinemodus – HP Systems Insight Manager Benutzerhandbuch
Seite 113
HINWEIS:
•
Ein SSO-Zertifikat wird von HP SIM 7.0 und höher verwendet. Daher enthält die vorherige
Version von HP SIM möglicherweise kein SSO-Zertifikat. Nur in diesen Fällen wird das
SSO-Zertifikat während des Aktualisierungsvorgangs erstellt.
•
Nach dem Erstellen des SSO-Zertifikats muss die Vertrauensstellung mit den verwalteten
Systemen durch Importieren des neuen SSO-Zertifikats auf den verwalteten Systemen neu
eingerichtet werden.
Das HP SIM WBEM-Zertifikat ist ein selbstsigniertes 2.048-Bit-Zertifikat und wird bei der
Aktualisierung auf HP SIM 7.2 nicht überschrieben.
Ablauf des Zertifikats und Zertifikatsperrprüfung
HP SIM unterstützt Zertifikatssperrprüfungen. Standardmäßig ist die Sperrprüfung für Client- und
für Serverzertifikate aktiviert. Die Serverzertifikate werden jedoch nur der Sperrprüfung unterzogen,
wenn Sie die Option Require Trusted Certificate (Vertrauenswürdige Zertifikate erforderlich) unter
Options
→Security→Credentials→Trusted Systems→Trusted Certificates (Optionen > Sicherheit >
Anmeldedaten > Vertrauenswürdige Systeme > Vertrauenswürdige Zertifikate) aktiviert haben.
Die Zertifikatssperrprüfung können Sie mit der GUI konfigurieren, indem Sie
Options
→Security→Certificate Revocation Configuration Check (Optionen > Sicherheit >
Zertifikatssperrkonfigurationsprüfung) wählen.
Sie können die Zertifikatssperrprüfung auch konfigurieren, indem Sie mxcert -L in der Befehlszeile
eingeben.
Quelle der Client- und Serverzertifikate
Die Clientzertifikate werden vom Webportal, von Partneranforderungen und von den
WBEM-Diensten an HP SIM gesendet.
Die Serverzertifikate werden von verwalteten Systemen an HP SIM gesendet.
Aktivieren oder Deaktivieren der Zertifikatssperrprüfung
HP SIM ermöglicht das Deaktivieren der Zertifikatssperrprüfung für Server- und für Clientzertifikate.
Das Deaktivieren der Zertifikatssperrprüfung für Clientzertifikate wirkt sich nicht auf die
2-Faktor-Authentifizierung aus, bei der das als Benutzerzertifikat bezeichnete Clientzertifikat immer
auf Sperrung geprüft wird.
Das Aktivieren der Zertifikatssperrprüfung kann sich auf die Systemleistung auswirken, weil das
System im Rahmen der Sperrprüfung die Zertifikatssperrliste (Certificate Revocation List = CRL) vom
Zertifikatsserver herunterladen muss. Die CRL-Datei mit der Zertifikatssperrliste wird nur
heruntergeladen, wenn noch keine mit dem Zertifikat verknüpfte CRL-Datei auf dem Server
zwischengespeichert wurde bzw. die zwischengespeicherte CRL-Datei abgelaufen ist.
Das Aktivieren oder Deaktivieren der Zertifikatssperrprüfung macht keinen Neustart von HP SIM
erforderlich.
Offlinemodus und Onlinemodus der Zertifikatssperrprüfung
Die Zertifikatssperrprüfung kann offline und/oder online durchgeführt werden.
Offlinemodus
Der Offlinemodus ist der Standardmodus der Zertifikatssperrprüfung. Der Offlinemodus erwartet
eine zwischengespeicherte Version der CRL-Dateien im System. Sie müssen die mit den Zertifikaten
verknüpften CRL-Dateien regelmäßig in einem von HP SIM gepflegten Verzeichnis aktualisieren.
Unter Windows handelt es sich um das Verzeichnis \data\crl, unter Linux/HPUX um /var/
opt/mx/data/crl
.
Verwaltung von Anmeldedaten
113