Wbem-zertifikat, Aktualisieren auf hp sim 7.0, Ablauf des zertifikats und zertifikatsperrprüfung – HP Systems Insight Manager Benutzerhandbuch

WBEM-Zertifikat

In HP SIM 7.0 verwendet das WBEM-Zertifikat die 2.048-Bit-Schlüssellänge. Eine neue HP SIM
7.0-Installation erstellt ein WBEM-Zertifikat mit der 2.048-Bit-Schlüssellänge. Das WBEM-Zertifikat
kann bei Bedarf mit den folgenden Befehlen neu generiert werden:

mxcert -w(Distinguished Name)

mxcert -W

Aktualisieren auf HP SIM 7.0

Wird eine Aktualisierung von einer vorherigen Version von HP SIM auf 7.0 vorgenommen, dann
werden die Haupt- oder WBEM-Zertifikate nicht überschrieben. Die bestehenden Zertifikate werden
beibehalten, um die Vertrauensstellungen zwischen dem CMS und den verwalteten Systemen zu
wahren. Nach der Aktualisierung empfiehlt HP, dass Sie die HP SIM-Haupt- und -WBEM-Zertifikate
für die Verwendung von 2,048-Bit-Schlüsseln aktualisieren.

Das SSO-Zertifikat wird während der Aktualisierung erstellt. Um die Vertrauensstellungen mit den
verwalteten Systemen wieder aufzubauen, müssen Sie das neu erstellte Hauptzertifikat
möglicherweise auf den verwalteten Systemen importieren. Unter Umständen müssen die
vertrauenswürdigen Zertifikate wieder in den HP SIM-Vertrauensspeicher importiert werden.

Ablauf des Zertifikats und Zertifikatsperrprüfung

HP SIM unterstützt Zertifikatssperrprüfungen. Standardmäßig ist die Sperrprüfung für Client- und
für Serverzertifikate aktiviert. Die Serverzertifikate werden jedoch nur der Sperrprüfung unterzogen,
wenn Sie die Option Require Trusted Certificate (Vertrauenswürdige Zertifikate erforderlich) unter
Options

→Security→Credentials→Trusted Systems→Trusted Certificates (Optionen > Sicherheit >

Anmeldedaten > Vertrauenswürdige Systeme > Vertrauenswürdige Zertifikate) aktiviert haben.

Die Zertifikatssperrprüfung können Sie mit der GUI konfigurieren, indem Sie
Options

→Security→Configure Certificate Revocation Check (Optionen > Sicherheit >

Zertifikatssperrprüfung konfigurieren) wählen.

Sie können die Zertifikatssperrprüfung auch konfigurieren, indem Sie mxcert -L in der Befehlszeile
eingeben.

Quelle der Client- und Serverzertifikate

Die Clientzertifikate werden vom Webportal, von Partneranforderungen und von den
WBEM-Diensten an HP SIM gesendet.

Die Serverzertifikate werden von verwalteten Systemen an HP SIM gesendet.

Aktivieren oder Deaktivieren der Zertifikatssperrprüfung

HP SIM ermöglicht das Deaktivieren der Zertifikatssperrprüfung für Server- und für Clientzertifikate.
Das Deaktivieren der Zertifikatssperrprüfung für Clientzertifikate wirkt sich nicht auf die
2-Faktor-Authentifizierung aus, bei der das als Benutzerzertifikat bezeichnete Clientzertifikat immer
auf Sperrung geprüft wird.

Das Aktivieren der Zertifikatssperrprüfung kann sich auf die Systemleistung auswirken, weil das
System im Rahmen der Sperrprüfung die Zertifikatssperrliste (Certificate Revocation List = CRL) vom
Zertifikatsserver herunterladen muss. Die CRL-Datei mit der Zertifikatssperrliste wird nur
heruntergeladen, wenn noch keine mit dem Zertifikat verknüpfte CRL-Datei auf dem Server
zwischengespeichert wurde bzw. die zwischengespeicherte CRL-Datei abgelaufen ist.

Das Aktivieren oder Deaktivieren der Zertifikatssperrprüfung macht keinen Neustart von HP SIM
erforderlich.

Offlinemodus und Onlinemodus der Zertifikatssperrprüfung

Die Zertifikatssperrprüfung kann offline und/oder online durchgeführt werden.

112

Überblick über die HP SIM Sicherheit