Sicherheit/Benutzermanagement: Schritt 5. Importieren der Zertifikatrückrufliste

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird das Verfahren zum Importieren einer Zertifikatrückrufliste (Certificate Revocation List, CRL) in NetWitness-Server beschrieben.

Eine CRL ist eine Datei, die eine Liste der widerrufenen Zertifikate mit Detailinformationen enthält, wie die Seriennummer und das Widerrufsdatum der einzelnen Zertifikate. In der Regel wird ein Zertifikat widerrufen, um dessen Gefährdung durch unbefugte Benutzer zu vermeiden. Wenn z. B. ein NetWitness Suite-Benutzer ein Unternehmen verlässt, muss sein Zertifikat von der ausstellenden Zertifizierungsstelle widerrufen werden, um jegliche Zertifikatgefährdung zu vermeiden. 

Sie können die von Ihrer vertrauenswürdigen Zertifizierungsstelle ausgestellte Zertifikatrückrufliste importieren, sodass NetWitness Suite diese verwenden kann, um unbefugten Benutzern den Zugriff auf NetWitness Suite zu verweigern. Sie können eine Zertifikatrückrufliste mit den folgenden Optionen angeben oder in NetWitness Suite importieren:

  • HTTP-Server: Dies ist der am häufigsten verwendete Speicherort für die Zertifikatrückrufliste, an dem die Zertifizierungsstelle diese Liste mithilfe eines HTTP-Servers in externen Anwendungen veröffentlicht. NetWitness-Server liest die Zertifikatrückrufliste über die HTTP-URL.
  • Lokale CRL: Mit dieser Option können Sie die Zertifikatrückrufliste für eine Zertifizierungsstelle manuell herunterladen und sie dann auf NetWitness-Server hochladen. Zur Automatisierung können Sie einen Cron-Job schreiben, um die Zertifikatrückrufliste in das Verzeichnis /var/lib/netwitness/uax/pki/crl auf NetWitness-Server zu kopieren. Nach der Aktualisierung der Zertifikatrückrufliste (alle 5 Minuten) verwendet NetWitness-Server diese aktualisierte Liste von der Festplatte.
  • LDAP-Ressource: Diese Option wird hauptsächlich von Windows-Systemen verwendet. Sie müssen eine LDAP-URL mit dem Benutzernamen und Passwort angeben, um auf das LDAP-Objekt zuzugreifen. NetWitness-Server liest die Zertifikatrückrufliste von der LDAP-URL aus.
  • OCSP-Responder: Um einen OCSP-Responder festzulegen, müssen Sie die HTTP-URL und das Signaturzertifikat des OCSP-Responder angeben. Vergewissern Sie sich, dass der OCSP-Responder beim Eingeben des Eintrags online ist. Falls das Signaturzertifikat des OCSP-Responder aktualisiert wird, müssen Sie es in NetWitness-Server manuell aktualisieren.

Verfahren

Angeben der CRL-Datei auf dem HTTP-Server

Hinweis: Vergewissern Sie sich, dass die Zertifikatrückrufliste verfügbar ist und von NetWitness-Server aus auf den HTTP-Server zugegriffen werden kann.

So legen Sie die CRL-Datei auf dem HTTP-Server fest:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Sicherheit.
    Die Ansicht „Sicherheit“ wird mit geöffneter Registerkarte Benutzer angezeigt.
  2. Klicken Sie auf die Registerkarte PKI-Einstellungen.
  3. Klicken Sie im Abschnitt Zertifikatrückruflisten (CRLs) auf Schaltfläche „Hinzufügen“.
  4. Wählen Sie im Feld Zertifikatrückruflisten-Typ in der Drop-down-Liste die Option Zertifikatrückrufliste befindet sich auf einem HTTP-Server aus.
  5. Geben Sie im Feld URL die HTTP-URL für den Zugriff auf die Zertifikatrückrufliste an.
  6. Klicken Sie auf Testen.
    Auf der NetWitness Suite-Benutzeroberfläche werden die extrahierten Informationen der Zertifikatrückrufliste angezeigt, wie unten dargestellt.

    Hinweis: Wenn sich die HTTP-URL im HTTPS-Speicherort befindet, validiert NetWitness-Server nicht das Webserverzertifikat des HTTP-Servers, auf dem die Zertifikatrückrufliste gespeichert wurde.

  7. Klicken Sie auf Speichern.
    Die CRL-Datei wurde erfolgreich zu NetWitness-Server hinzugefügt.

Importieren der lokalen CRL-Datei mithilfe der NetWitness Suite-Benutzeroberfläche

Hinweis: Vergewissern Sie sich, dass die Zertifikatrückrufliste vom CDP-Speicherort heruntergeladen wurde.

So importieren Sie die lokale CRL-Datei mithilfe der NetWitness Suite-Benutzeroberfläche:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Sicherheit.
    Die Ansicht „Sicherheit“ wird mit geöffneter Registerkarte Benutzer angezeigt.
  2. Klicken Sie auf die Registerkarte PKI-Einstellungen.
  3. Klicken Sie im Abschnitt Zertifikatrückruflisten (CRLs) auf Schaltfläche „Hinzufügen“.
    Das Dialogfeld „CRL-Einstellungen“ wird angezeigt.
  4. Wählen Sie im Feld Zertifikatrückruflisten-Typ in der Drop-down-Liste die Option CRL ist als Datei verfügbar aus.
  5. Klicken Sie in der CRL-Datei auf „Durchsuchen“, um die CRL-Datei hochzuladen.

    Hinweis: Die Erweiterung der CRL-Datei sollte „.crl“ lauten.

  6. Klicken Sie auf Testen.
    Auf der NetWitness Suite-Benutzeroberfläche werden die extrahierten Informationen der Zertifikatrückrufliste angezeigt, wie unten dargestellt.
  7. Klicken Sie auf Speichern.
    Die CRL-Datei wurde erfolgreich zu NetWitness-Server hinzugefügt.

Festlegen der Zertifikatrückrufliste als LDAP-Ressource mithilfe der NetWitness Suite-Benutzeroberfläche

Hinweis: Vergewissern Sie sich, dass die Zertifikatrückrufliste verfügbar ist und von NetWitness-Server aus auf den LDAP-Server zugegriffen werden kann.

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Sicherheit.
    Die Ansicht „Sicherheit“ wird mit geöffneter Registerkarte Benutzer angezeigt.
  2. Klicken Sie auf die Registerkarte PKI-Einstellungen.
  3. Klicken Sie im Abschnitt Zertifikatrückruflisten (CRLs) auf Schaltfläche „Hinzufügen“.
    Das Dialogfeld „CRL-Einstellungen“ wird angezeigt.
  4. Wählen Sie im Feld Zertifikatrückruflisten-Typ in der Drop-down-Liste die Option Zertifikatrückrufliste wird als LDAP-Ressource veröffentlicht aus.
  5. Geben Sie im Feld URL die LDAP-URL für den Zugriff auf die Zertifikatrückrufliste an.

    Hinweis: Die LDAP-URL enthält Leerzeichen, z. B. wird „CN=EMC Root CA“ als „CN=EMC%20Root%20CA“ dargestellt.

  6. Geben Sie im Feld Benutzername den Benutzernamen im Format „Domain/Benutzername“ ein.
  7. Geben Sie im Feld Passwort das Passwort für den Zugriff auf die Zertifikatrückrufliste ein.
  8. Klicken Sie auf Testen.
    Auf der NetWitness Suite-Benutzeroberfläche werden die extrahierten Informationen der Zertifikatrückrufliste angezeigt, wie unten dargestellt.
  9. Klicken Sie auf Speichern.
    Die CRL-Datei wurde erfolgreich zu NetWitness-Server hinzugefügt.

Festlegen des OCSP-Responder mithilfe der NetWitness Suite-Benutzeroberfläche

Hinweis: Vergewissern Sie sich, dass der OCSP-Responder von NetWitness-Server aus erreichbar ist.

So legen Sie den OCSP-Responder mithilfe der NetWitness Suite-Benutzeroberfläche fest:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Sicherheit.
    Die Ansicht „Sicherheit“ wird mit geöffneter Registerkarte Benutzer angezeigt.
  2. Klicken Sie auf die Registerkarte PKI-Einstellungen.
  3. Klicken Sie im Abschnitt Zertifikatrückruflisten (CRLs) auf Schaltfläche „Hinzufügen“.
    Das Dialogfeld „CRL-Einstellungen“ wird angezeigt.
  4. Wählen Sie im Feld Zertifikatrückruflisten-Typ in der Drop-down-Liste die Option HTTP-URL für OCSP-Responder aus.
  5. Geben Sie im Feld URL die HTTP-URL an.
  6. Klicken Sie im Feld Zertifikat auf Durchsuchen, um das Signaturzertifikat des OCSP-Responder hochzuladen.
  7. Klicken Sie auf Testen. Auf der NetWitness Suite-Benutzeroberfläche werden die extrahierten Informationen aus dem Signaturzertifikat des OCSP-Responder angezeigt.
  8. Klicken Sie auf Speichern.
    Der OCSP-Responder wurde erfolgreich zu NetWitness-Server hinzugefügt.

Konfigurieren der CRL-Einstellungen

Sie müssen die CRL-Einstellungen konfigurieren, um die Zertifikatrückrufliste für den Widerruf des Zertifikats zu validieren.

So konfigurieren Sie die CRL-Einstellungen:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Sicherheit. Die Ansicht „Sicherheit“ wird mit geöffneter Registerkarte Benutzer angezeigt.
  2. Klicken Sie auf die Registerkarte PKI-Einstellungen.
  3. Wählen Sie im Abschnitt CRL-Einstellungen eine der folgenden Optionen für den Fehlermodus aus.
    • Benutzern die Anmeldung ermöglichen, wenn die Überprüfung des Widerrufs fehlschlägt: Mit dieser Option können Benutzer in folgenden Fällen auf NetWitness-Server zugreifen:
      • Die Zertifikatrückrufliste wurde für einen Aussteller des Benutzerzertifikats nicht gefunden.

      • Das Benutzerzertifikat wurde nicht widerrufen, aber die Zertifikatrückrufliste ist abgelaufen.

      • Der OCSP-Server ist nicht erreichbar.
    • Benutzern die Anmeldung verweigern, wenn die Überprüfung des Widerrufs fehlschlägt: Mit dieser Option können sich Benutzer in folgenden Fällen anmelden:

      • Die Zertifikatrückrufliste steht für den Aussteller des Benutzerzertifikats zur Verfügung.
      • Das Benutzerzertifikat wurde widerrufen und die Zertifikatrückrufliste ist gültig.

      • Der OCSP-Server ist erreichbar und das Benutzerzertifikat ist gültig.

  4. Wählen Sie im Feld Modus der Widerrufüberprüfung den Modus für die Überprüfung des Benutzerzertifikats aus.
    • Bei Auswahl des Modus Nur Zertifikatrückrufliste wird die Zertifikatrückrufliste als gültig erachtet, wenn die folgenden Kriterien zutreffen:
      • Es sollte eine Zertifikatrückrufliste vorhanden sein, die vom gleichen Aussteller eines Benutzerzertifikats ausgegeben wird.
      • Die Zertifikatrückrufliste ist nicht abgelaufen.
      • Die Zertifikatrückrufliste wurde vom Aussteller ordnungsgemäß signiert.
    • Bei Auswahl des Modus Nur OCSP wird der OCSP als gültig erachtet, wenn die folgenden Kriterien zutreffen:
      • Es sollte ein OCSP-Responder vorhanden sein, der vom gleichen Aussteller eines Benutzerzertifikats ausgegeben wird.
      • Der OCSP-Responder ist nicht abgelaufen.
      • Der OCSP-Responder wurde vom Aussteller ordnungsgemäß signiert.
    • Bei Auswahl des Modus Zertifikatrückrufliste, dann OCSP müssen die folgenden Kriterien zutreffen:
      • Das Benutzerzertifikat muss gültig sein.
      • Wenn das Benutzerzertifikat im oben genannten Schritt gültig ist, wird es mithilfe des OCSP-Responder validiert.
      • Es wird als gültig erachtet, wenn es nicht in der Zertifikatrückrufliste widerrufen und mithilfe des OCSP-Responder validiert wurde.
  5. Wählen Sie im Feld „CRL-Multimodus“ den Modus für die Verarbeitung der Zertifikatrückrufliste aus, wenn ein Benutzer über mehrere Zertifikatrückruflisten des gleichen Ausstellers verfügt.
    • Widerruf der zuletzt ausgestellten Zertifikatrückrufliste prüfen: Die Zertifikatrückrufliste mit dem neuesten Ausstellungsdatum gilt als die zuletzt verwendete Zertifikatrückrufliste.
    • Widerruf der zuletzt abgelaufenen Zertifikatrückrufliste prüfen: Die Zertifikatrückrufliste mit dem neuesten Ablaufdatum gilt als die zuletzt abgelaufene Zertifikatrückrufliste.
    • Alle Zertifikatrückruflisten für die Widerrufüberprüfung kombinieren: Alle widerrufenen Zertifikate in den Zertifikatrückruflisten gelten als widerrufen.

      Hinweis:
      Wenn mehrere Zertifikatrückruflisten vorhanden sind, gilt eine Zertifikatrückrufliste anhand der folgenden Kriterien als eindeutig:
      – Das Veröffentlichungsdatum der Zertifikatrückrufliste
      – Das Ablaufdatum der Zertifikatrückrufliste

 

Nächster Schritt:

Schritt 6. Aktivieren von PKI

You are here
Table of Contents > Sicherheit/Benutzermanagement: Schritt 5. Importieren der Zertifikatrückrufliste

Attachments

    Outcomes