 |
A-SIT Secure
Information Technology Center – Austria |
Konfiguration und Online-Update
Das Zertifikatsstatustool kann für die Suche in
LDAP-Verzeichnissen und die Prüfung von bestimmten
Widerrufsdiensten vorkonfiguriert werden.
Die in der obigen Abbildung dargestellten Menüpunkte haben
folgende Funktionen:
- Bearbeiten: Hier können die
konfigurierten Dienste eingesehen bzw. bearbeitet werden.
- Konfiguration online aktualisieren: Die
Auswahl dieses Menüpunkts führt eine Online-Aktualisierung aller
konfigurierten Dienste durch. Im Zuge dessen werden auch alle
Trust Anchor aktualisiert. Dieser Vorgang überschreibt alle
Einstellungen!
- Einstellungen: Hier kann die automatische
Signaturprüfung aktiviert bzw. konfiguriert werden.
Konfigurationsdateien
Die Konfiguration besteht aus einer lokalen Komponente (Datei
localConfig.properties im Verzeichnis .asitCertStatus ausgehend vom
Benutzerverzeichnis), welche über den Menüpunkt Bearbeiten;
angepasst werden kann, sowie einer Default-Konfiguration, welche
alle vorkonfigurierten Einträge enthält. Die
Default-Konfiguration kann z.B. für eine organisationsweite
zentrale Konfiguration verwendet werden. Sie wird beim Online-Update
vom Server geladen und lokal als Kopie abgespeichert. Die Quelle des Online-Updates kann in der Default-Konfiguration angepasst werden. Das
Vorhandensein aller Standardwerte ermöglicht es, die Konfiguration
jederzeit zurückzusetzen und etwaige Änderungen zu verwerfen.
Konfiguration Anpassen
Ein umfassender Konfigurationsdialog kann über den Menüpunkt Konfiguration
→ Bearbeiten erreicht werden.
Konfigurieren von Diensten
Der erste Tab des Konfigurationsdialogs ermöglicht die Verwaltung von
Trust Anchor und Verzeichnisdiensten.
Die einzelnen konfigurierten Dienste werden in der Liste rechts
von Service angezeigt.
Für jeden einzelnen Dienst können folgende
Eigenschaften definiert werden (bitte beachten Sie, dass zumindest
das Ausstellerzertifikat und ein Name angegeben werden müssen):
- LDAP Url: Hier wird die URL des
LDAP-Verzeichnisdienstes angegeben. Diese muss mit ldap://
beginnen. Wird keine LDAP-URL spezifiziert, so wird dieser Dienst
nicht für die Suche herangezogen.
- Ausstellerzertifikat: Hier scheinen die
mit dem Dienst assoziierten Zertifikate (Trust Anchor) auf.
Zertifikate können über den Button Neues Zertifikat
hinzufügen importiert werden. Dabei werden die Dateien in das
Verzeichnis .asitCertStatus/certificates im
Benutzerverzeichnis kopiert. Um die Prüfung von Zertifikaten
mittels OCSP zu ermöglichen, muss das Ausstellerzertifikat des zu
prüfenden Zertifikats vorhanden sein. Zusätzliche Zertifikate
(sogenannte Backup-Zertifikate) sind optional. Im Falle eines
Ausfalls des Hauptsystems, werden neue Zertifikate mit einem
Backup-Zertifikat ausgestellt. Um einen reibungslosen Ablauf bei
der Zertifikatsprüfung zu gewährleisten, wird empfohlen,
Backup-Zertifikate (falls vorhanden) hinzuzufügen. Um ein
Ausstellerzertifikat zu löschen, markieren Sie den Eintrag des
jeweiligen Zertifikates in der Liste und klicken Sie auf Entfernen.
- LDAP Attribut Namenssuche: Hier wird die
Bezeichnung des LDAP-Feldes, welches den Namen zu suchender
Personen enthält eingegeben, gefolgt von dem Zeichen =.
In den meisten Fällen wird liefert cn= die
gewünschten Resultate.
- Ergänzungsfilter LDAP-Namenssuche:
Hier kann ggf. eine Zeichenkette angegeben werden, welche an den
Suchstring angehängt werden soll, wenn nach dem Namen eine Person gesucht wird. Beispiel: würde hier Meier
angegeben, so würde eine Suche nach dem Namen Max
Mustermann den LDAP-Suchfilter cn=MaxMustermannMeier
erzeugen. In den meisten Fällen kann dieses Feld leer
gelassen werden. Im Fall der E-Card Verwaltungsignatur ist es
jedoch notwendig SER* angegeben, da im Namensfeld
zusätzlich die Zeichenkette SER: und die
Zertifikatsseriennummer kodiert sind.
- LDAP Attribut Seriennummernsuche: In
diesem Feld kann die Bezeichnung des LDAP-Feldes, welches die
Seriennummer des zu suchenden Zertifikates enthält, festgelegt
werden. Diese muss von dem Zeichen = gefolgt werden. In
vielen Fällen führtserialNumber= oder serial=
zum gewünschten Ergebnis.
- Ergänzungsfilter
LDAP-Seriennummernsuche: Analog zur LDAP-Namenssuche kann hier
ein zusätzlicher String angegeben werden, welcher bei der Suche
nach Seriennummern an den Suchstring angehängt wird.
- CRL Url: In diesem Feld kann eine URL zur
aktuellen Widerrufsliste angegeben werden. Es darf sich dabei nicht
um eine Delta-CRL handeln. Die URL muss mit ldap:// oder http://
beginnen.
- OCSP Url: Hier kann die URL eines OCSP
Services angegeben werden. Die URL muss mit http:// beginnen.
Änderungen werden nach dem Speichern (Button Konfiguration
speichern) wirksam.
Mit einem Klick auf Auf Defaultwerte zurücksetzen
können die Einstellungen aus der zentralen Konfigurationsdatei
für das aktuelle Service geladen werden.
Mit dem ButtonNeues Service hinzufügen wird ein neues
Service in der Liste angelegt, mit dem Button Entfernen
wird das momentan in der Liste markierte Service gelöscht.
Hinweis: Wird ein LDAP-Service konfiguriert, muss zumindest das
LDAP-Attribut für die Namenssuche und die Seriennummernsuche
definiert werden.
OID Einstellungen
Über den Tab
OIDs können OIDs konfiguriert werden, welche Zertifikate als
qualifizierte Zertifikate ausweisen.
Zertifikate, welche zumindest einen der hier angegebenen
OIDs in der Qualified Certificate Statements-Zertifikatserweiterung
bzw. in der Certificate Policies-Zertifikatserweiterung
enthalten, werden als qualifizierte Zertifikate betrachtet. Bitte
beachten Sie, dass es sich dabei um eine Angabe des
Zertifikatsausstellers handelt, welche nicht überpüft wird.
Neue OIDs können im entsprechenden Feld eingegeben werden und mit
einem Klick auf den zugehörigen Hinzufügen-Button
hinzugefügt werden. Bestehende OIDs können auf dieselbe Art
bearbeitet werden, nachdem sie ausgewählt wurden. Durch einen Klick
auf den entsprechenden Entfernen-Button können ausgewählte
OIDs auch entfernt werden.
Änderungen werden sofort wirksam. Die Änderungen
werden jedoch nur dann permanent gespeichert, wenn der Button Konfiguration
Speichern betätigt wird.