Sie können die Zertifikatsperrüberprüfung konfigurieren, um zu verhindern, dass sich Benutzer authentifizieren, deren Benutzerzertifikate gesperrt sind. Zertifikate werden oft gesperrt, wenn ein Benutzer eine Organisation verlässt, eine Smartcard verliert oder die Abteilung wechselt.

Es wird sowohl eine Zertifikatsperrüberprüfung mit Zertifikatsperrlisten (CRL, Certificate Revocation Lists) als auch mit dem Online Certificate Status Protocol (OCSP) unterstützt. Eine CRL ist eine Liste gesperrter Zertifikate, die von der ausgebenden Zertifizierungsstelle veröffentlicht wurde. Bei OCSP handelt es sich um ein Zertifikatsüberprüfungsprotokoll zur Ermittlung des Sperrstatus eines Zertifikats.

Sie können CRL und OCSP in der derselben Zertifikat-Authentifizierungsadapter-Konfiguration festlegen. Wenn Sie beide Arten der Zertifikatsperrüberprüfung konfiguriert haben und das Kontrollkästchen „CRL im Falle eines OCSP-Fehlers verwenden“ aktiviert ist, wird OCSP zuerst überprüft und bei einem Scheitern die Sperrüberprüfung an CRL weitergegeben. Beachten Sie, dass umgekehrt bei einem Scheitern der CRL-Überprüfung die Sperrüberprüfung nicht an OCSP zurückgegeben wird.

Anmelden mit der CRL-Überprüfung

Bei aktivierter Zertifikatsperre wertet der VMware Identity Manager Connector-Server eine CRL-Liste zur Ermittlung des Sperrstatus eines Benutzerzertifikats aus.

Ist ein Zertifikat gesperrt, kann die Authentifizierung mit dem Zertifikat nicht durchgeführt werden.

Anmelden mit der OCSP-Zertifikatsüberprüfung

Das Online Certificate Status Protocol (OCSP) ist eine Alternative zu Zertifikatsperrlisten (CRL), die zur Durchführung einer Zertifikatsperrüberprüfung verwendet wird.

Wenn bei der Konfigurierung der zertifikatsbasierten Authentifizierung „Cert-Sperrung aktivieren“ und „OCSP-Sperrung aktivieren“ beide aktiviert sind, validiert VMware Identity Manager die gesamte Zertifikatskette, einschließlich den primären, Zwischen- und Stammzertifikaten. Die Sperrüberprüfung schlägt fehl, wenn die Überprüfung eines Zertifikats in der Kette fehlschlägt oder der Aufruf der OCSP-URL fehlschlägt.

Die OCSP-URL kann entweder manuell im Textfeld konfiguriert oder von der Erweiterung für den Zugriff auf Stelleninformationen (Authory Information Access, AIA) des zu validierenden Zertifikats extrahiert werden.

Die von Ihnen bei der Konfigurierung der Zertifikatsauthentifizierung ausgewählte OCSP-Option bestimmt, wie VMware Identity Manager die OCSP-URL verwendet.

  • Nur Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mit der OCSP-URL aus dem Textfeld aus, um die gesamte Zertifikatskette zu validieren. Ignorieren Sie die Informationen in der Zertifikat-AIA-Erweiterung. Das OCSP-URL-Textfeld muss auch mit der OCSP-Serveradresse für die Sperrüberprüfung konfiguriert werden.

  • Nur Zertifikat (erforderlich). Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL, die in der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette vorhanden ist. Die Einstellung in dem OCSP-URL-Textfeld wird ignoriert. Für alle Zertifikate in der Kette muss eine OCSP-URL definiert sein, sonst schlägt die Zertifikatsperrüberprüfung fehl.

  • Nur Zertifikat (optional). Führen Sie die Zertifikatsperrüberprüfung nur mithilfe der OCSP-URL aus, die in der AIA-Erweiterung des Zertifikats vorhanden ist. Überprüfen Sie die Sperrung nicht, wenn die OCSP-URL in der AIA-Erweiterung des Zertifikats nicht vorhanden ist. Die Einstellung in dem OCSP-URL-Textfeld wird ignoriert. Diese Konfiguration ist hilfreich, wenn die Sperrüberprüfung gewünscht ist, aber einige Zwischen- oder Stammzertifikate keine OCSP-URL in der AIA-Erweiterung enthalten.

  • Zertifikat mit Fallback auf Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL aus, die aus der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette extrahiert wurde, wenn die OCSP-URL verfügbar ist. Wenn die OCSP-URL nicht in der AIA-Erweiterung ist, überprüfen Sie die Sperrung mithilfe der OCSP-URL, die in dem OCSP-URL-Textfeld konfiguriert wurde. Das OCSP-URL-Textfeld muss mit der OCSP-Serveradresse konfiguriert werden.