Fujitsu BS2000 SE Serie Sicherheitshandbuch Seite 81

SE Server - Sicherheitshandbuch - Benutzerhandbuch
8.3 Digitale Zertifikate
Die Nutzung von HTTPS/SSL setzt auf der Management Unit außer einem SSL-Schlüsselpaar auch ein
sogenanntes (digitales) SSL-Zertifikat voraus. Dieses Server-Zertifikat hat folgende zwei Aufgaben:
Das Zertifikat ist immer systemspezifisch (beinhaltet den FQDN) und weist dem Browser auf dem
Administrations-PC die Online-Identität des jeweiligen Systems nach.
Das Zertifikat stellt den öffentlichen Schlüssel bereit, mit dem der Browser auf dem Administrations-PC seine
Nachrichten zum Server hin verschlüsselt.
Auf jeder Management Unit ist ein selbstsigniertes systemspezifisches Zertifikat, das in dem System generiert
wurde, als Standard-Zertifikat vorinstalliert.
Statt des vorinstallierten selbstsignierten Zertifikats können Sie auch andere Zertifikate einsetzen. Es bestehen
folgende Möglichkeiten:
Benutzung eines selbstsignierten Zertifikats
Ein solches Zertifikat ist auf dem System als Standard-Zertifikat vorinstalliert. Es muss in jedem Browser, der mit
dem SE Manager arbeitet, explizit bestätigt oder importiert werden.
Benutzung eines kundeneigenen (von einer Kunden-CA signierten) Zertifikats
Das Zertifikat muss dem X.509-Standard mit PEM-Encoding entsprechen und die Zertifikatdatei muss das Suffix .
key besitzen.
Falls die kundenspezifischen Richtlinien die Nutzung eines solchen Zertifikats vorsehen, kann dieses einfach
installiert werden.
Das Zertifikat wird in der Regel von einem kundenspezifischen Stammzertifikat abgeleitet. Ein solches Zertifikat
ist den beim Kunden verwendeten Browsern bekannt und wird ohne Nachfrage (d.h. ohne Bestätigung oder
Import) akzeptiert.
Benutzung eines kommerziellen (von einer root-CA signierten) Zertifikats
Ein solches Zertifikat wird von einer vertrauenswürdigen Stammzertifizierungsstelle (CA = Certification Authority)
kostenpflichtig erstellt und ist damit allen Browsern bekannt. Deshalb akzeptiert jeder Browser solche Zertifikate
ohne Nachfrage.
81