Zertifikate erkunden

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Ihre Instanz von benötigt Zertifikate, um sichere Verbindungen herzustellen und Signaturen zu validieren.

    Zertifikate werden für folgende Funktionen verwendet:

    Um ein Zertifikat zu verwenden, müssen Sie ein Zertifikat für den gesicherten Server oder Client generieren oder erwerben und in eine Instanz hochladen.

    LDAP-Zertifikate

    Ein SSL-Zertifikat ist erforderlich, damit die Instanz eine LDAP-über-SSL-Verbindung (LDAPS-Protokoll) mit einem LDAP-Server herstellen kann.

    Die Instanz akzeptiert zwei Arten von LDAP-Zertifikaten:

    Zertifikat Typ Erforderlich für
    LDAP-Serverzertifikat Jeder unterstützte Typ Alle LDAP-Konfigurationen
    LDAP-Client-Zertifikat Java-Schlüsselspeichertyp Gegenseitige Authentifizierung

    Wenn mehrere Serverzertifikate vorhanden sind, probiert die Instanz jedes Serverzertifikat nacheinander aus, bis der LDAP-Server die Verbindung zulässt. Wenn Sie mehrere LDAP-Server verwenden, müssen Sie das SSL-Zertifikat für jeden LDAP-Server einbeziehen.

    Die gegenseitige Authentifizierung erfordert, dass der Client zusätzlich zum Server ein Zertifikat vorlegt. Wenn Ihr LDAP-Server eine gegenseitige Authentifizierung erfordert, müssen Sie auch das Client-Zertifikat Ihres LDAP-Servers in einem Zertifikat des Java-Schlüsselspeichertyps bereitstellen.

    Zertifikatkriterien

    Ein gültiges Zertifikat muss die folgenden Kriterien erfüllen:
    • Das Zertifikat kann eine Schlüsselgröße von bis zu 2048 Bits haben.
    • Das -Zertifikat muss eine der folgenden Dateierweiterungen aufweisen:
      Erweiterung Beschreibung
      DER Das Format für differenzierte Codierungsregeln ist eine binäre Nachrichtenübertragungssyntax. Dieses Format unterstützt auch die Dateierweiterungen .cer und .CRT.
      cer Zertifikatdateierweiterungen für Zertifikate, die das Format „Distinguished Encoding Rules“ verwenden.
      CRT Zertifikatdateierweiterungen für Zertifikate, die das Format „Distinguished Encoding Rules“ verwenden.
      PEM Das erweiterte E-Mail-Format für Datenschutz ist ein base64-codiertes DER-Zertifikat, das zwischen den Textzeichenfolgen „------BEGIN CERTIFICATE------“ und „-----END-CERTIFICATE-----“ eingeschlossen ist.

    Zertifikatvertrauen

    Standardmäßig vertraut Ihre -Instanz nur Zertifikaten einer Zertifizierungsstelle (Certificate Authority, CA), die in der Java Virtual Machine (JVM) anerkannt ist. Selbst- und unternehmenssignierte Zertifikate sind nicht vertrauenswürdig.

    Hinweis:
    Weitere Informationen zu den Eigenschaften, die sich auf die Verwendung von Zertifikaten auswirken, finden Sie unter Sichere Kommunikation unter Härtungseinstellungen für Instanzsicherheit.