Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Der Abschnitt “ClientCertificates“ (JSON Objekt)

Dieser Konfigurationsabschnitt definiert den Umgang mit Clientzertifikaten. Sollen keine Clientzertifikate verwendet werden, kann der gesamte Abschnitt entfallen. Derzeit werden folgende Eigenschaften unterstützt:

Eigenschaft

Typ

Funktion

Mode

String

Definiert das Verhalten beim Verbindungsaufbau. Der Wert “allowed” lässt Clientzertifikate zur, fordert diese aber nicht explizit von der Gegenseite an, der Wert “required” fordert die Gegenseite explizit zur Übermittelung eines Clientzertifikats auf.

Authentication

JSON Object

Definiert das Authentifizierungsverhalten auf Applikationsebene (nicht auf Verbindungsebene). Dieses Objekt besitzt lediglich eine Eigenschaft vom Type Boolean mit dem Namen “Enabled”. Wird diese auf true gesetzt, so legt der Name im Zertifikat (Subject Name) automatisch den aktuellen Benutzer fest. Sofern ds Zertifikat erfolgreich validiert wurde, ist für die Anmeldung keine weitere Eingabe eines Benutzernamens oder Passworts erforderlich. Stammen die Clientzertifikate von einer öffentlichen Zertifizierungsstelle, sollte zusätzlich zur allgemeinen Gültigkeitsprüfung auch eine Prüfung des Subject Names erfolgen (über SubjectRegex), um fremde Clientzertifikate bereits auf Verbindungsebene zu blockieren.

Validation

JSON Object

Diese Eigenschaft definiert das Validierungsverhalten für Clientzertifikate. Hierbei ist zu beachten, dass die Validierungsfunktionen des zugrundeliegenden Betriebssystems durch diese Einstellungen lediglich erweitert werden. Die Validierung erfolgt also zunächst durch das Betriebssystem auf Basis der dort hinterlegten Zertifikate. Ist diese Validierung nicht erfolgreich, so können zusätzliche Zertifikate in die Validierung miteinbezogen werden. Mit Hilfe der Filtereinstellungen können eigentlich gültige Zertifikate ausgeschlossen werden. Außerdem ist eine explizite Prüfung der Revokation-Listen möglich, welche vom Betriebssystem aus Performancegründen in der Regel nicht vorgenommen wird. Folgende Eigenschaften können hier konfiguriert werden:

CheckRevokation
Ein boolescher Wert, welcher angibt, ob die Revokation-Listen geprüft werden sollen, um zurückgezogene Zertifikate abzuweisen.

Filters → SubjectRegex
Ein regulärer Ausdruck, mit dessen Hilfe eine zusätzliche Filterung nach dem Subject Name definiert werden kann.

IntermediateCertificates
Ein Array mit Zertifikaten von Zwischenzertifizierungsstellen, welche in die Validierung miteinbezogen werden, sofern die Validierung durch das Betriebssystem nicht erfolgreich war. Somit ist die Einbindung von Zwischenzertifizierungsstellen möglich, ohne dass diese im Zertifikatspeicher des Betriebssystems abgelegt werden müssen. Nähere Informationen zur Spezifikation der zu verwendenden Zertifikate finden Sie weiter unten.

TrustedClientCertificates
Ein Array mit Clientzertifikaten, welche ohne weitere Prüfungen als gültig betrachtet werden. Nähere Informationen zur Spezifikation der zu verwendenden Zertifikate finden Sie weiter unten.

TrustedRootCertificates
Ein Array mit Zertifikaten von Stammzertifizierungsstellen, welche in die Validierung miteinbezogen werden, sofern die Validierung durch das Betriebssystem nicht erfolgreich war. Somit ist die Einbindung von Stammzertifizierungsstellen möglich, ohne dass diese im Zertifikatspeicher des Betriebssystems abgelegt werden müssen. Nähere Informationen zur Spezifikation der zu verwendenden Zertifikate finden Sie weiter unten.

Der Abschnitt “ServerCertificates“ (JSON Objekt)

...