Verwendung digitaler Zertifikate (Smart Certificate) / OCSP-Server
Übergeordnetes Thema: OCSP-Server

OCSP-Server konfigurieren

Um den OCSP-Server zu konfigurieren, sind folgende Schritte erforderlich:

  1. Aktivieren Sie den OCSP-Server unter Zertifikate > OCSP > Online Certificate Status Protocol (OCSP)-Server > OCSP-Server aktiviert.
  2. Weisen Sie dem OCSP-Server ein Zertifikat zu.

    Für den Betrieb des OCSP-Server ist es erforderlich, dass dieser ein Zertifikat von der CA erhält, über deren Zertifikate er Auskunft geben soll. Mit diesem Zertifikat werden die OCSP-Antworten signiert.

    Hierzu ist unter Zertifikate > OCSP > Online Certificate Status Protocol (OCSP)-Server das Zertifikat-Subject für den OCSP-Server zu konfigurieren. Aus dieser Information wird dann beim erstmaligen Aktivieren das Zertifikat für den OCSP-Server automatisch erzeugt.





    Wichtig: Geben Sie im Zertifikat-Subject als CN den FQDN an, unter dem der OCSP-Server für die OCSP-Clients erreichbar ist.
  3. Erweitern Sie die Smart Certificate-Vorkonfiguration um Informationen zum OCSP-Server
    1. Unter Zertifikate > Zertifikatsbehandlung > Web-Interface der CA > Vorlagen konfigurieren Sie, dass bei der Erzeugung eines Zertifikats mittels Smart Certificate CA das Feld "OCSP-AIA" (Authority Information Access) konfiguriert werden kann. Verwenden Sie die "Default"-Vorlage, ist dies bereits automatisch der Fall. Verwenden Sie eine benutzerdefinierte Vorlage, dann schalten Sie das Feld "OCSP-AIA" aktiv.




    2. Unter Zertifikate > Zertifikatsbehandlung > Web-Interface der CA > Profile legen Sie als nächstes einen Default-Wert für das Feld OCSP-AIA im gewünschten Smart-Certificate-Profil fest.
      Anmerkung: Dieser Schritt ist optional. Wenn Sie hier keinen Default-Wert festlegen, dann müssen Sie manuell einen Wert bei der Erzeugung eines Zertifikats angeben.

      Konfigurieren Sie hier den Namen oder die IP-Adresse, unter dem der OCSP-Server für die OCSP-Clients erreichbar ist. Dieser wurde bereits oben bei der Erzeugung des OCSP-Server-Zertifikats verwendet. Fügen Sie auch die Portnummer an, unter der der OCSP-Server erreichbar ist. Standardmäßig ist der Port 8084.

      Im Beispiel wird der Default-Wert für das Profil "VPN" auf "ocspserver.test.de:8084" angepasst:





Die Konfiguration des OCSP-Servers ist damit abgeschlossen.

Wird nun wie in Zertifikaterstellung über WEBconfig beschrieben über WEBconfig ein Zertifikat mittels Smart Certificate erzeugt, dann wird diesem automatisch die OCSP-AIA angefügt, sodass der Client beim Verbindungsaufbau zur Gültigkeitsprüfung den OCSP-Server kontaktiert.




Zur Prüfung der Gültigkeit zieht der OCSP-Server wiederum die geräteinterne Zertifikatsliste heran, so dass Zertifikate über die Smart Certificate-Weboberfläche bequem zurückgezogen oder wieder für gültig erklärt werden können.
Übergeordnetes Thema: OCSP-Server

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo