...
Eigenschaft | Typ | Funktion |
Mode | String | Definiert das Verhalten beim Verbindungsaufbau. Der Wert “allowed” lässt Clientzertifikate zur, fordert diese aber nicht explizit von der Gegenseite an, der Wert “required” fordert die Gegenseite explizit zur Übermittelung eines Clientzertifikats auf. |
Authentication | JSON Object | Definiert das Authentifizierungsverhalten auf Applikationsebene (nicht auf Verbindungsebene). Dieses Objekt besitzt lediglich eine Eigenschaft vom Type Boolean mit dem Namen “Enabled”. Wird diese auf true gesetzt, so legt der Name im Zertifikat (Subject Name) automatisch den aktuellen Benutzer fest. Sofern ds Zertifikat erfolgreich validiert wurde, ist für die Anmeldung keine weitere Eingabe eines Benutzernamens oder Passworts erforderlich. Stammen die Clientzertifikate von einer öffentlichen Zertifizierungsstelle, sollte zusätzlich zur allgemeinen Gültigkeitsprüfung auch eine Prüfung des Subject Names erfolgen (über SubjectRegex), um fremde Clientzertifikate bereits auf Verbindungsebene zu blockieren. |
Validation | JSON Object | Diese Eigenschaft definiert das Validierungsverhalten für Clientzertifikate. Hierbei ist zu beachten, dass die Validierungsfunktionen des zugrundeliegenden Betriebssystems durch diese Einstellungen lediglich erweitert werden. Die Validierung erfolgt also zunächst durch das Betriebssystem auf Basis der dort hinterlegten Zertifikate. Ist diese Validierung nicht erfolgreich, so können zusätzliche Zertifikate in die Validierung miteinbezogen werden. Mit Hilfe der Filtereinstellungen können eigentlich gültige Zertifikate ausgeschlossen werden. Außerdem ist eine explizite Prüfung der Revokation-Listen möglich, welche vom Betriebssystem aus Performancegründen in der Regel nicht vorgenommen wird. Folgende Eigenschaften können hier konfiguriert werden: CheckRevokation Filters → SubjectRegex IntermediateCertificates TrustedClientCertificates TrustedRootCertificates |
...