Challenge-Passwörter konfigurieren

Im LANconfig konfigurieren Sie unter Zertifikate > Zertifikats-Behandlung im Abschnitt Zertifikats-Ausstellung die Zertifikats-Parameter.





Gültigkeitszeitraum
Bestimmen Sie hier die Gültigkeitsdauer des Zertifikates in Tagen.
Basis-Challenge-Passwort
Hier kann ein weiteres "Passwort" eingetragen werden, das an die CA übertragen wird. Dieses kann standardmäßig zur Authentifizierung von Rücknahme-Anträgen benutzt werden. Auf CAs mit Microsoft-SCEP (mscep) können (falls dort aktiviert) die von der CA vergebenen Einmalpasswörter zur Antragsauthentifizierung eingetragen werden.

Die Challenge-Tabelle verwaltet die eigenen Passwörter der Zertifikat-Nehmer (Client).





Distinguished-Name
Hier muss der "Distinguished Name" eingegeben werden. Hierüber erfolgt einerseits die Zuordnung von CAs zu Systemzertifikaten (und umgekehrt). Andererseits spielt dieser Parameter auch eine Rolle bei der Bewertung ob erhaltene oder vorhandene Zertifikate der Konfiguration entsprechen. Es handelt sich um eine durch Komma oder Schrägstrich separierte Auflistung, in der Name, Abteilung, Bundesland und Land des Gateways angegeben werden können. Die folgenden Beispiele zeigen, wie der Eintrag aussehen kann: CN=myCACN, DC=mscep, DC=ca, C=DE, ST=berlin, O=myOrg /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE
MAC-Adresse
Tragen Sie hier die MAC-Adresse des Clients ein, dessen Passwort in der Challange-Passwort-Tabelle verwaltet wird.
Challenge
Geben Sie hier die Challenge (Passwort) für den Client an.
Gültigkeit
Geben Sie hier die Gültigkeit des Passwortes an. Wenn Sie "einmalig" auswählen, handelt es sich bei diesem Passwort um ein One-Time-Passwort (OTP), das nur für die einmalige Verwendung z. B. bei einer Authentifizierung gültig ist.

Unter CA-Verschlüsselung konfigurieren Sie die Sicherheitsmerkmale der CA-Verschlüsselung.





Encryption-Algorithmus
Wählen Sie hier den Verschlüsselungs-Algorithmus zur Verschlüsselung innerhalb des SCEP-Protokolls aus. Sowohl die Zertifizierungsstelle (CA) als auch der Zertifikatnehmer (Client) müssen den Algorithmus unterstützen. Die folgenden Verfahren stehen zur Auswahl:
  • DES
  • 3DES
  • BLOWFISH
  • AES128
  • DES192
  • DES256
Signatur-Algorithmus
Wählen Sie hier den Signatur-Algorithmus aus, den die Zertifizierungsstelle (CA) zur Signatur (Unterschrift) der Zertifikate verwenden soll. Sowohl die CA als auch der Zertifikatnehmer (Client) müssen das Verfahren unterstützen, da der Client die Integrität des Zertifikates anhand der Signatur prüft. Es stehen die folgenden kryptographischen Hash-Funktionen zur Auswahl:
  • MD5
  • SHA1
  • SHA2-256
  • SHA2-384
  • SHA2-512
Fingerprint-Algorithmus
Wählen Sie hier einen Fingerprint-Algorithmus aus, den die Zertifizierungsstelle (CA) zur Berechnung des Fingerprints (Fingerabdruck) der Signatur (Unterschrift) verwenden soll. Sowohl die CA als auch der Zertifikatnehmer (Client) müssen das Verfahren unterstützen. Der Fingerprint ist ein Hash-Wert von Daten (Schlüssel, Zertifikat, etc.), d. h. eine kurze Zahlenfolge, die zur Überprüfung der Integrität der Daten benutzt werden kann. Es stehen die folgenden kryptographischen Hash-Funktionen zur Auswahl:
  • MD5
  • SHA1
  • SHA2-256
  • SHA2-384
  • SHA2-512