Inhaltsverzeichnis
Werbung
Da ihr Clientzertifikat keine anderen Zertifikate unterzeichnen muss, geben Sie bei Zertifikatstyp „End-
instanz" ein.
Basic constrains
Typ = Endinstanz
Key identifier
Haken setzen bei Subject Key Identifier
Gültigkeit
Sie können das genaue Anfangs-/ und Enddatum in die ausgewiesenen Felder eingeben, oder den
nebenstehenden Eintrag Time Range benutzen.
Time Range
Stellen Sie im Menü ganz rechts den Zahlenwert Tage, Monate oder Jahre ein. Welche Dauer einzel-
ne Zertifikate haben sollten, sehen Sie in der unten angegebenen Aufstellung:
Bitte mit „Übernehmen" die Werte der Time Range übernehmen
Subject alternative name
Der alternative Name des Inhabers besteht aus einer Liste von alternativen Namen für den Inhaber des Zertifi-
kates, diese Namen können, RFC822-Namen (E-Mail), DNS-Namen, X.400 Adressen, EDI-Namen, URIs oder
IP-Adressen sein, im Grunde ist jedes strukturiertes Namenschema verwendbar. Bei PKIX muss diese Erweite-
rung kritisch sein, wenn das Subject-Feld im Zertifikat leer ist.
Issuer alternative name
Für alternative Namen des Austellers gilt dasselbe wie für den alternativen Namen des Inhabers.
CRL distribution point
Um einen öffentlichen Zugangspunkt für Rückhollisten benutzen zu können, muss die LDAP-/ bzw. HTTP-
Adresse der Rückholliste Liste eingetragen werden. Es ist der Adresse immer ein URI (universal resource
indicator) (z.B. URI:http://de.wikipedia.de) voran zu setzen. Das Feldtrennzeichen ist ein Doppelpunkt. Falls Sie
lokale Rückhollisten besitzen, ist diese Option für Sie nicht von Bedeutung.
Authority Info Access
Diese PKIX Erweiterung definiert, wie weitere Information und Services der ausstellenden CA genutzt werden
können. Darin können weitere Informationen über die CA (weitere Richtlinien, Stammzertifikate,...) oder Online
Verifikation Services (z.B. OCSP) bereitgestellt werden. Vor allem wenn bei Zertifikatsanwendungen wie Secure
Mail (S/MIME) nicht der ganze Zertifizierungspfad mitgeschickt wird, ist es für die prüfende Anwendung nett,
wenn im Endzertifikat in dieser Erweiterung aufgeführt ist, wo das nächsthöhere CA-Zertifikat abzurufen ist.
10.2.2.4 Clientzertifikat - Key Usage
Wenn Sie ein Clientzertifikat als Endinstanz erstellen, benötigen Sie keine der hier einstellbaren Opti-
onen. Sie können sofort zum nächsten Reiter wechseln.
10.2.2.5 Clientzertifikat - Netscape
Falls Sie zusätzliche Sicherheit wünschen, dann können Sie für ihre VPN-Teilnehmer, je nachdem
welche Rolle die VPN-Teilnehmer übernehmen(Client oder Server), noch die Option SSL-Server oder
SSL-Client auswählen.
Dies hat den Vorteil, dass bei OpenVPN abgefragt werden kann, ob ein VPN-Server zusätzlich mit
SSL ausgestattet ist. Im mbNET kann diese Option auch aktiviert werden. Im Kapitel zu OpenVPN
•
Personenzertifikate sollten 1 Jahr Gültigkeit haben.
•
Server (SSL) Zertifikate ebenfalls 1 Jahr Gültigkeit.
•
Router Zertifikate sollten 1 (wenn es fremde Router sind) oder 10 Jahre
(wenn es eigene Router sind) Gültigkeit haben.
•
CA Zertifikate sollten auch eine lange Laufzeit haben (Bsp. >10 Jahre).
MB Connect Line
Seite 87 von 199
Version: 1.8
Werbung
Inhaltsverzeichnis
