Werbung
3730_de_A
Von SSL- und SSH-Servern verwendetes RSA-Schlüsselpaar: Hierbei handelt es
sich um ein Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel, das
zwei Zielen dient:
–
Es wird von einigen Cipher Suites zur Entschlüsselung der Handshake-Meldungen
von SSL-TSL verwendet. Ein Lauscher im Besitz des privaten Teils dieses
Schlüsselpaars kann den Datenverkehr derjenigen SSL/TSL-Verbindungen
entschlüsseln, die beim Handshake mit RSA-Verschlüsselung arbeiten.
–
Damit wird das RSA-Zertifikat des Servers signiert um zu bestätigen, dass der GW-
GERÄTESERVER ... zur Verwendung des RSA-Identifizierungszertifikats
berechtigt ist.
Wer im Besitz des privaten Teils des Schlüsselpaars ist, kann sich als GW DEVICE
SERVER... ausgeben.
Soll der RSA-Schlüssel des Servers ausgetauscht werden, muss auch ein
entsprechendes RSA-Identifizierungszertifikat generiert und hochgeladen werden,
andernfalls können die Clients das Identifizierungszertifikat nicht überprüfen.
Von den SSL-Servern verwendete RSA-Serverzertifikate: Hierbei handelt es sich um
das RSA-Identifizierungszertifikat, das der GW-GERÄTESERVER ... während des
SSL/TLS-Handshakes verwendet um sich auszuweisen. Es wird sehr häufig durch den
SSL-Servercode im GW-GERÄTESERVER ... verwendet, wenn die Clients die
Verbindungen zum sicheren Webserver oder anderen sicheren TCP-Schnittstellen des
GW-GERÄTESERVERS ... öffnen. Wird die serielle Schnittstelle eines GW-
GERÄTESERVERS ... so eingerichtet, dass sie (als Client) eine TCP-Verbindung zu
einem anderen Server-Teilnehmer öffnet, verwendet der GW-GERÄTESERVER ...
auch dieses Zertifikat, um sich selbst als SSL-Client zu erkennen zu geben, falls der
Server dies anfordert.
Zur ordnungsgemäßen Funktion muss dieses Zertifikat mit einem RSA-Key des
Servers signiert sein. Das bedeutet, dass das RSA-Zertifikat und der RSA-Schlüssel
des Servers als Paar auszutauschen sind.
Von SSL-Servern verwendetes DH-Schlüsselpaar: Hierbei handelt es sich um ein
Paar aus einem privaten und einem öffentlichen Schlüssel, das von einigen Cipher
Suites zur Entschlüsselung der Handshake-Meldungen von SSL-TSL verwendet wird.
Ein Lauscher im Besitz des privaten Teils dieses Schlüsselpaars kann den Datenverkehr
derjenigen SSL/TSL-Verbindungen entschlüsseln, die beim Handshake mit DH-
Verschlüsselung arbeiten.
Von SSL-Servern verwendetes Zertifikat zur Client-Authentifizierung: Bei
Konfiguration mit einem CA-Zertifikat fordert der GW DEVICE SERVER... von allen
SSL/TLS-Clients ein RSA-Identifizierungszertifikat an, das vom konfigurierten CA-
Zertifikat signiert ist. Bei Lieferung ist der GW-GERÄTESERVER ... nicht mit einem CA-
Zertifikat ausgestattet und alle SSL/TLS-Clients sind erlaubt..
Alle GW DEVICE SERVER... werden werkseitig mit identischen Einstellungen
ausgeliefert. Alle sind mit identischen selbstsignierten, RSA-Serverzertifikaten, RSA-
Serverkeys, DH-Serverkeys von Phoenix Contact, aber nicht mit Client-
Authentifizierungszertifikaten ausgestattet.
Um die maximale Daten- und Zugriffssicherheit zu gewährleisten, sollten alle
GW DEVICE SERVER... mit eigenen Zertifikaten und Schlüsseln konfiguriert werden.
Konfiguration und Inbetriebnahme
PHOENIX CONTACT
19
Werbung
Kapitel
