Zertifikate erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Ihre Instanz erfordert Zertifikate, um sichere Verbindungen herzustellen und Signaturen zu validieren.

    Zertifikate werden für Funktionen wie die folgenden verwendet:

    Um ein Zertifikat zu verwenden, müssen Sie ein Zertifikat für den gesicherten Server oder Client generieren oder erwerben und in eine Instanz hochladen.

    LDAP-Zertifikate

    Ein SSL-Zertifikat ist erforderlich, damit die Instanz eine LDAP-über-SSL-Verbindung (LDAPS-Protokoll) mit einem LDAP-Server herstellen kann.

    Die Instanz akzeptiert zwei Arten von LDAP-Zertifikaten:

    Zertifikat Typ Erforderlich für
    LDAP-Serverzertifikat Beliebiger unterstützter Typ Alle LDAP-Konfigurationen
    LDAP-Client-Zertifikat Java-Schlüsselspeichertyp Gegenseitige Authentifizierung

    Wenn mehrere Serverzertifikate vorhanden sind, testet die Instanz jedes Serverzertifikat nacheinander, bis der LDAP-Server die Verbindung zulässt. Wenn Sie mehrere LDAP-Server verwenden, stellen Sie sicher, dass Sie das SSL-Zertifikat für jeden LDAP-Server einbeziehen.

    Die gegenseitige Authentifizierung erfordert, dass der Client zusätzlich zum Server ein Zertifikat vorlegt. Wenn Ihr LDAP-Server eine gegenseitige Authentifizierung erfordert, müssen Sie auch das Client-Zertifikat Ihres LDAP-Servers in einem Java-Schlüsselspeicher-Zertifikat angeben.

    Zertifikatkriterien

    Ein gültiges Zertifikat muss die folgenden Kriterien erfüllen:
    • Das Zertifikat kann eine Schlüsselgröße von bis zu 2048 Bit haben.
    • Das Zertifikat muss eine der folgenden Dateierweiterungen haben:
      Erweiterung Beschreibung
      DER Das Format „Distinguished Encoding Rules“ ist eine binäre Nachrichtenübertragungssyntax. Dieses Format unterstützt auch die Dateierweiterungen .CER und .CRT.
      CER Zertifikatdateierweiterungen für Zertifikate, die das Format „Distinguished Encoding Rules“ verwenden.
      CRT Zertifikatdateierweiterungen für Zertifikate, die das Format „Distinguished Encoding Rules“ verwenden.
      PEM Das Privacy Enhanced Mail -Format ist ein base64-codiertes DER-Zertifikat, das zwischen den Textzeichenfolgen „-----BEGIN CERTIFICATE-----“ und „----END CERTIFICATE-----“ eingeschlossen ist.

    Zertifikatvertrauen

    Standardmäßig vertraut Ihre Instanz nur Zertifikaten einer Zertifizierungsstelle (CA), die in der Java Virtual Machine (JVM) erkannt wird. Selbstsignierten und unternehmenssignierten Zertifikaten wird nicht vertraut.

    Hinweis:
    Weitere Informationen zu den Eigenschaften, die sich auf die Verwendung von Zertifikaten auswirken, finden Sie unter Sichere Kommunikation in den Härtungseinstellungen für die Instanzsicherheit.