Parameter:
OCSP_CHECK_CLIENT_CERTKurzbeschreibung: Aktiviert OCSP-Revocation-Checks für Client-Zertifikate bei TLS-Client-Authentifizierung (HTTPS, SMTP/LDAP STARTTLS).
Steckbrief
Parameter | OCSP_CHECK_CLIENT_CERT |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 12.0 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = aus (Standard), 1 = prüfen (fail-open), 2 = prüfen (fail-closed) |
Beschreibung
Bei TLS-Client-Authentifizierung präsentiert der Client ein Zertifikat. Damit gesperrte Zertifikate (Revocation über CRL/OCSP) wirklich abgelehnt werden, muss der Server aktiv prüfen.
OCSP_CHECK_CLIENT_CERT aktiviert diese Prüfung gegen den OCSP-Responder, der im Zertifikat hinterlegt ist:1fail-open: Wenn der OCSP-Responder nicht erreichbar ist, wird das Zertifikat trotzdem akzeptiert.
2fail-closed: Bei nicht erreichbarem Responder wird die Verbindung abgelehnt – die strengere und sicherere Variante.
Beispiel-Konfiguration
OCSP_CHECK_CLIENT_CERT=2
Hinweise & Stolperfallen
- fail-closed erfordert hochverfügbare OCSP-Responder – sonst sperrt es im Störfall legitime Clients aus.
- Greift nach Restart der nutzenden Tasks (HTTP, SMTP, LDAP).
- Ergänzt sich mit
NOCRLCheckundLogPrintCertChainErrorszur tieferen TLS-Diagnose.
- Für höchste Sicherheitsanforderungen zusätzlich Soft-Fail-/Hard-Fail-Verhalten in der Sicherheits-Policy dokumentieren.