Inhaltsverzeichnis
Werbung
Installations- und Konfigurationshandbuch ICDM-RX/TCP
Client-Authentifizierung
•
Alle ICDM-RX/TCP-Einheiten werden ab Werk mit identischen selbstsignierten ID-Zertifikaten und privaten
Schlüsseln geliefert. Das bedeutet, dass jemand (mit etwas Aufwand) den werkseitig voreingestellten
privaten Schlüssel aus der ICDM-RX/TCP-Firmware extrahieren und damit den Datenverkehr von einem
anderen ICDM-RX/TCP belauschen kann, der mit dem privaten Standardschlüssel verwendet wird.
•
Die öffentlichen/privaten Schlüsselpaare und die ID-Zertifikate können mithilfe von openssl-
Befehlszeilenprogrammen erstellt werden.
•
Wenn das Server-Authentifizierungszertifikat im ICDM-RX/TCP nicht von einer dem Client bekannten
Zertifizierungsstelle signiert ist (bei Auslieferung nicht der Fall), wird der Benutzer durch interaktive SSL-
Clients (z. B. Webbrowser) in der Regel gewarnt.
•
Wenn der Name im Server-Authentifizierungszertifikat nicht mit dem
den Zugriff auf den Server verwendet wurde, wird der Benutzer durch interaktive SSL-Clients (z. B.
Webbrowser) in der Regel gewarnt.
6.3.6.2. Client-Authentifizierung
Client-Authentifizierung
Die
(Webbrowser usw.) überprüft.
•
Clients können generell so konfiguriert werden, dass sie ein bestimmtes unbekanntes Serverzertifikat
akzeptieren, sodass der Benutzer nicht später gewarnt wird.
•
Der ICDM-RX/TCP (in der Regel ein SSL-Server) kann durch Hochladen eines Zertifikats einer
Zertifizierungsstelle
vertrauenswürdigen
Zertifikate verwendet, die dem ICDM-RX/TCP von den SSL-Clients vorgelegt werden. Auf diese Weise
können Sie den Zugriff auf den ICDM-RX/TCP auf eine begrenzte Anzahl von Clients beschränken, die mit
entsprechenden ID-Zertifikaten konfiguriert wurden.
•
Die ICDM-RX/TCP-Einheiten werden ohne Autoritätszertifikat versandt und erfordern von Clients kein
Vorlegen von ID-Zertifikaten. Dadurch können alle SSL-Clients eine Verbindung zum ICDM-RX/TCP
herstellen.
6.3.6.3. Zertifikate und Schlüssel
Um den Zugriff auf die geschützten SSL/TLS-Ressourcen des ICDM-RX/TCP zu steuern, sollten Sie ein
eigenes benutzerdefiniertes CA-Zertifikat erstellen und anschließend autorisierte Client-Anwendungen mit
Identitätszertifikaten konfigurieren, die vom benutzerdefinierten CA-Zertifikat signiert wurden.
Dieses hochgeladene CA-Zertifikat, das zur Validierung der Identität eines Clients dient, wird manchmal als
Trusted Root Certificate
,
Zertifikat kann ein vertrauenswürdiges kommerzielles Zertifikat oder ein privat generiertes Zertifikat sein, das
ein Unternehmen intern erstellt, um einen Mechanismus zur Steuerung des Zugriffs auf Ressourcen
bereitzustellen, die durch die SSL/TLS-Protokolle geschützt sind.
Die folgende Liste enthält zusätzliche Informationen zu Zertifikaten und Schlüsseln:
•
Standardmäßig wird der ICDM-RX/TCP ohne Zertifizierungsstelle (CA, Certificate Authority) geliefert und
ermöglicht daher Verbindungen mit jedem SSL/TLS-Client. Falls gewünscht, kann der kontrollierte Zugriff
auf SSL/TLS-geschützte Funktionen konfiguriert werden, indem ein Client-Authentifizierungszertifikat in
den ICDM-RX/TCP hochgeladen wird.
•
Zertifikate sind bei kommerziellen Zertifizierungsstellen (VeriSign, Thawte, Entrust usw.) erhältlich.
•
Zertifikate können von Benutzern mithilfe von openssl-Befehlszeilenprogrammen oder anderen
Anwendungen zur eigenen Verwendung erstellt werden.
•
Zertifikate und Schlüssel, die auf den ICDM-RX/TCP hochgeladen werden sollen, müssen im
Binärdateiformat .DER und nicht im ASCII-Dateiformat .PEM vorliegen. (Die openssl-Programme können
Dateien in beiden Formaten erstellen und Dateien zwischen den beiden Formaten hin und her
konvertieren.)
•
Die Konfiguration von Zertifikaten und Schlüsseln erfolgt durch vier hochgeladene Dateien im unteren Teil
Key and Certificate Management
ist der Mechanismus, mit dem der ICDM-RX/TCP die Identität von Clients
konfiguriert werden; das Zertifikat wird zur Überprüfung der ID-
Trusted Authority Certificate
Edit Security Configuration
der Website
Hostnamen
Trusted CA Certificate
oder
:
übereinstimmt, der für
bezeichnet. Dieses CA-
75
Werbung
Inhaltsverzeichnis
