Verwenden der Zertifikatsperrüberprüfung

Sie können die Zertifikatsperrüberprüfung konfigurieren, um zu verhindern, dass sich Benutzer authentifizieren, deren Benutzerzertifikate gesperrt sind. Zertifikate werden oft gesperrt, wenn ein Benutzer eine Organisation verlässt, eine Smartcard verliert oder die Abteilung wechselt.

Es wird sowohl eine Zertifikatsperrüberprüfung mit Zertifikatsperrlisten (CRL, Certificate Revocation Lists) als auch mit dem Online Certificate Status Protocol (OCSP) unterstützt. Eine CRL ist eine Liste gesperrter Zertifikate, die von der ausgebenden Zertifizierungsstelle veröffentlicht wurde. Bei OCSP handelt es sich um ein Zertifikatsüberprüfungsprotokoll zur Ermittlung des Sperrstatus eines Zertifikats.

Sie können CRL und OCSP in der derselben Zertifikat-Authentifizierungsadapter-Konfiguration festlegen. Wenn Sie beide Arten der Zertifikatsperrüberprüfung konfiguriert haben und das Kontrollkästchen „CRL im Falle eines OCSP-Fehlers verwenden“ aktiviert ist, wird OCSP zuerst überprüft und bei einem Scheitern die Sperrüberprüfung an CRL weitergegeben. Beachten Sie, dass umgekehrt bei einem Scheitern der CRL-Überprüfung die Sperrüberprüfung nicht an OCSP zurückgegeben wird.

Anmelden mit der CRL-Überprüfung

Bei aktivierter Zertifikatsperre wertet der VMware Identity Manager -Server eine CRL-Liste zur Ermittlung des Sperrstatus eines Benutzerzertifikats aus.

Ist ein Zertifikat gesperrt, kann die Authentifizierung mit dem Zertifikat nicht durchgeführt werden.

Anmelden mit der OCSP-Zertifikatsüberprüfung

Ist eine Sperrüberprüfung mittels Certificate Status Protocol (OCSP) konfiguriert, sendet der VMware Identity Manager eine Anforderung an den OCSP-Antwortdienst, um den Sperrstatus eines bestimmten Benutzerzertifikats zu ermitteln. Der VMware Identity Manager -Server überprüft mit dem OCSP-Anmeldezertifikat, ob die Antworten vom OCSP-Antwortdienst authentisch sind.

Wenn das Zertifikat gesperrt ist, scheitert die Authentifizierung.

Bei der Konfiguration der Authentifizierung kann festgelegt werden, dass diese an die CRL-Überprüfung weitergegeben wird, wenn keine Antwort vom OCSP-Antwortdienst erfolgt oder die Antwort ungültig ist.