Modtageren af et identitetscertifikat kontrollerer flere certifikatfelter som en del af processen til certifikatgodkendelse.
Kontrol af certifikatEt identitetscertifikat er gyldigt, når det er i overensstemmelse med en række en betingelser:
Certifikatet er tidsgyldigt.
Certifikatet er ikke blevet annulleret eller ændret.
Certifikatet er udstedt til det formål, som det bruges til.
Subject Alternative Name-feltet i certifikatet svarer til det Full Qualified Domain Name for den indgående forbindelse.
Certifikatet kan være pålideligt, hvilket betyder, at det er blevet godkendt af pålidelige CA-certifikater.
|
En PRISMAsync-printer har ét identitetscertifikat, der kan bruges til at godkende PRISMAsync Print Server. Dette identitetscertifikat er oprettet, signeret og udstedt af en CA. Anmodningen om certifikat til CA, også kaldet Certificate Signing Request (CSR), genereres af systemadministratoren i Settings Editor. Den private nøgle og den offentlige nøgle, der hører til identitetscertifikatet oprettes også under CSR-oprettelsen. Den offentlige nøgle sendes med anmodningen, men den private nøgle opbevares sikkert på PRISMAsync Print Server. Systemadministratoren overfører PRISMAsync Print Server-identitetscertifikatet i Settings Editor.  BEMÆRK
En rod-CA eller en mellemliggende CA kan konfigureres til intern brug i virksomheden. |
|
Set fra PRISMAsync Print Server kan certifikatgodkendelsen ske på to steder.
|
Ved anmodning fra en anden part sender PRISMAsync Print Server sit identitetscertifikat. PRISMAsync Print Server-identitetscertifikatet er gyldigt til klientgodkendelse, servergodkendelse eller til begge dele.
I tilfælde af servergodkendels godkendes PRISMAsync Print Server-identitetscertifikatet, når PRISMAsync Print Serverfungerer som en server. F.eks. når en browser ønsker at oprette forbindelse til Settings Editor eller til PRISMAsync Remote Manager via HTTPS.
Kontrol af certifikatI tilfælde af klientgodkendelse fungererPRISMAsync Print Server-identitetscertifikatet, når PRISMAsync Print Server som en klient. F.eks. når PRISMAsync Print Server ønsker at oprette forbindelse til mailserveren via TLS.
Kontrol af certifikatPRISMAsync Print Server ssender en anmodning om godkendelse til en anden part. PRISMAsync Print Server godkender det modtagne identitetscertifikat. Til dette bruger PRISMAsync Print Server de CA-certifikater, der er gemt på PRISMAsync Print Server-listen over pålidelige certifikater.
Kontrol af certifikatI tilfælde af gensidig godkendelse udveksler både PRISMAsync Print Server og anden part deres identitetscertifikat og godkender identitetscertifikatet for den anden part.
|
PRISMAsync Print Server anvender gensidig godkendelse til at oprette en certifikatbaseret IPsec-forbindelse. |
Kontrol af certifikatAlle CA-certifikater, der tilhører certificeringskæden, skal bruges til at godkende identitetscertifikatet.
Eksempel:
Skemaet nedenfor beskriver, hvordan en certificeringskæde kontrolleres.
Kontrol af certifikatPRISMAsync Print Server læser feltet Udsteder serveridentitetscertifikatet og kontrollerer, om udstederen er på PRISMAsync Print Server-listen over pålidelige certifikater. Hvis udstederen er på listen, bruger PRISMAsync Print Server den offentlige CA-nøgle til at kontrollere underskriften i serveridentitetscertifikatet.
CA-certifikatet udstedes af rod-CA'et. Derfor er dette CA-certifikat et mellemliggende certifikat. Nu kontrollerer PRISMAsync Print Server, om rodnøglecenteret er på listen. Hvis rod-CA'et er på listen, bruger PRISMAsync Print Server den offentlige nøgle fra rod-CA'et til at kontrollere underskriften i CA-certifikatet.
CA-rodcertifikatet er udstedt af rod-CA'et selv. Underskriften på CA-rodcertifikatet kan kontrolleres med rod-CA'ets offentlige nøgle.
Når alle CA'er viser sig at være pålidelig, betragtes serveridentitetscertifikatet som værende gyldig.
|
Browsere som f.eks. Chrome, Firefox, Safari og Internet Explorer har et sæt forudinstallerede CA-certifikater til at kontrollere identitetscertifikatet for webservere som f.eks. PRISMAsync Print Server. PRISMAsync Print Server gemmer CA-certifikaterne for andre parter på listen over pålidelige certifikater. |