Modo sin conexión, Alerta sobre el vencimiento del archivo crl, Modo en línea – HP Systems Insight Manager Manual del usuario

Página 112: Formas de activar el modo en línea, Puntos de distribución crl, Advertencia o error, Condiciones de advertencia, Modo sin conexión modo en línea

Advertising
background image

Modo sin conexión

El modo sin conexión se establece como el modo predeterminado de la comprobación de
revocación. El modo sin conexión espera que los archivos CRL estén copiados en memoria caché
en el sistema. Debe llenar con regularidad los archivos CRL asociados con los certificados en un
directorio que mantiene HP SIM. En Windows, el directorio es \data\crl y en Linux/HPUX, el
directorio es /var/opt/mx/data/crl.

Alerta sobre el vencimiento del archivo CRL

Si alguno de los archivos CRL presentes en este directorio ha caducado, HP SIM enviará una
alerta al sistema. Estas alertas pueden verse en la página "All Events" (Todos los sucesos).

El objetivo de esta alerta es informar al usuario de que actualice el directorio CRL con los archivos
CRL más recientes.

A continuación se describe cómo se configuran algunos de los valores relacionados con la alerta
CRL.

Modo en línea

Opcionalmente, se puede activar el modo en línea. Activar el modo en línea no deja sin efecto
el modo sin conexión de la comprobación CRL.

Si el archivo CRL asociado con un certificado no está en el directorio anterior, o si el archivo CRL
copiado en la memoria caché ha caducado, HP SIM comprueba si se ha activado el modo en
línea. En tal caso, HP SIM intenta descargar el archivo CRL del servidor de certificados. Una vez
descargado el archivo CRL, HP SIM guarda en memoria caché el archivo en el directorio anterior.

Formas de activar el modo en línea

Hay dos formas de activar el modo en línea. Mediante la configuración del proxy y de forma
directa.

En el primer método, deberá guardar la dirección de host y el puerto del servidor proxy.

En el otro método se da por supuesto que se puede acceder al servidor de certificados desde el
servidor CMS sin necesidad de configurar el proxy. Ejemplo, el servidor de certificados está en
la misma intranet que el servidor CMS.

En el futuro, la configuración del proxy se llevará a cabo en una ubicación común de HP SIM.

Puntos de distribución CRL

HP SIM espera que los puntos de distribución CRL estén presentes en el certificado y que los URL
de los puntos de distribución CRL sean válidos. Existe la posibilidad de que la comprobación de
revocación falle si alguno de los puntos de distribución contiene un URL que no es válido.

HP SIM sólo procesa URL de puntos de distribución HTTP. Si un certificado no contiene un URL de
un punto de distribución HTTP, la comprobación CRL del certificado fallará.

Advertencia o error

Si la comprobación de revocación de certificados no puede realizarse correctamente, HP SIM lo
registra como una advertencia, pero no interrumpe la conexión con el otro sistema. La conexión
se interrumpirá únicamente si HP SIM identifica el certificado como revocado.

En la autenticación basada en dos factores, si la comprobación de revocación no es correcta o
si el certificado se revoca, el usuario no podrá iniciar sesión en el CMS.

Condiciones de advertencia

Si el punto de distribución CRL no está disponible en el certificado

Si el punto de distribución CRL no contiene un URL HTTP

112

Información sobre la seguridad de HP SIM

Advertising