Schlüssel und Zertifikate verwalten
Gehen Sie wie nachstehend beschrieben vor, um die Schlüssel und Zertifikate im Reflection-Schlüsselagenten zu verwalten.
Hinzufügen von Schlüsseln zum Schlüsselagenten
Um dem Schlüsselagenten Schlüssel hinzuzufügen, können Sie direkt im Agenten neue Schlüssel generieren oder in der Rocket Software-Anwendung oder in einer anderen Anwendung erstellte Schlüssel in den Agenten importieren. Mit dem Schlüsselagenten generierte Schlüssel werden in verschlüsselter Form gespeichert und können nur vom Schlüsselagenten selbst verwendet werden. Schlüssel, die Sie im Dialogfeld „Reflection Secure Shell-Einstellungen“ erstellen, werden im Ordner Ordner-mit-persönlichen-Dokumenten\Micro Focus\Produktname\.ssh
gespeichert. Wenn Sie einen Schlüssel in den Schlüsselagenten importieren, wird der importierte Schlüssel in verschlüsselter Form im Agenten gespeichert, wobei der ursprüngliche Schlüssel erhalten bleibt, sofern Sie ihn nicht löschen.
So generieren Sie ein neues Schlüsselpaar mit dem Schlüsselagenten
-
Starten Sie den Schlüsselagenten und heben Sie die Sperrung auf.
-
Wählen Sie Schlüssel generieren aus.
-
Geben Sie einen Schlüsselnamen, einen Schlüsseltyp und die gewünschte Schlüssellänge an und wählen Sie OK.
So generieren Sie ein neues Schlüsselpaar mit der Rocket Software-Anwendung
-
Öffnen Sie das Dialogfeld Reflection Secure Shell-Einstellungen.
-
Wählen Sie im seitlichen Menü Benutzerschlüssel aus. Wählen Sie das Symbol zum Generieren () aus.
-
Geben Sie einen Schlüsselnamen, einen Schlüsseltyp und eine Schlüssellänge an. (Wenn Sie für den Schlüssel einen nicht standardmäßigen Namen oder Pfad angeben möchten, klicken Sie auf die Schaltfläche Durchsuchen.)
-
Geben Sie eine Passphrase an oder aktivieren Sie das Kontrollkästchen Keine Passphrase.
-
Wählen Sie Erstellen.
So importieren Sie einen privaten Schlüssel in den Schlüsselagenten
-
Starten Sie den Schlüsselagenten und heben Sie die Sperrung auf.
-
Klicken Sie im Menü Datei auf Privaten Schlüssel importieren.
-
Wählen Sie den Schlüssel aus, den Sie hinzufügen möchten. Standardmäßig werden Schlüssel, die Sie mit der Rocket Software-Anwendung erstellen, an folgendem Speicherort abgelegt:
Ordner_mit_persönlichen_Dokumenten\Micro Focus\Produktname\.ssh
Beispiel:
C:\Benutzer\joe\Dokumente\Micro Focus\Produktname\.ssh
Der Agent öffnet diesen Ordner standardmäßig, wenn Sie Privaten Schlüssel importieren auswählen. Jedes Schlüsselpaar enthält zwei Dateien: eine mit der Erweiterung
*.pub
und eine ohne Dateierweiterung. Der private Schlüssel ist die Datei ohne Erweiterung. -
Wenn der Schlüssel durch eine Passphrase geschützt ist, müssen Sie die Phrase richtig eingeben, um den Schlüssel importieren zu können.
Sobald Sie den Schlüssel importiert haben, wird dieser durch die Passphrase des Schlüsselagenten geschützt. Der ursprüngliche Schlüssel und seine Passphrase werden nicht geändert.
Weitere Informationen
Hochladen von Schlüsseln auf den Server
Unter Secure Shell erfolgt die Schlüssel-Authentifizierung mit einem Schlüsselpaar aus privatem und öffentlichem Schlüssel. Der öffentliche Schlüssel muss den autorisierten Schlüsseln auf einem Host hinzugefügt werden, bevor Sie sich bei diesem Host mit dem Schlüsselpaar authentifizieren können. Den Vorgang des Hochladens können Sie mit dem Schlüsselagenten vereinfachen. Der Agent stellt automatisch fest, welche Art von Secure Shell-Server auf dem von Ihnen angegebenen Host ausgeführt wird, exportiert Ihren öffentlichen Schlüssel mit der korrekten Schlüsselart für diesen Host und installiert ihn (über SFTP) am richtigen Speicherort für den von Ihnen angegebenen Benutzer.
Der öffentliche Schlüssel wird mit dem sicheren SFTP-Protokoll übertragen. Sie müssen die Kennwortauthentifizierung aktivieren, damit Sie den öffentlichen Schlüssel hochladen können.
So laden Sie den öffentlichen Schlüssel zum Server hoch
-
Starten Sie den Schlüsselagenten und heben Sie die Sperrung auf.
-
Wählen Sie den Schlüssel aus, den Sie für die Authentifizierung beim Server verwenden möchten, und klicken Sie auf die Schaltfläche Hochladen.
-
Geben Sie den Namen des Hosts an, auf den der Schlüssel hochgeladen werden soll. (In den meisten Fällen können Sie das Feld SSH config scheme (SSH-Konfigurationsdatei) leer lassen. Der Schlüsselagent stellt eine Secure Shell-Verbindung zum Host her und lädt den Schlüssel hoch. Durch die von Ihnen angegebene SSH-Konfigurationsdatei wird bestimmt, welche SSH-Einstellungen für diese Verbindung verwendet werden.) Klicken Sie auf OK.
-
Geben Sie bei einer entsprechenden Aufforderung den Namen und das Kennwort des Benutzers ein, der sich mit dem Schlüssel beim Host authentifizieren soll.
Sobald die sichere Verbindung mit dem Host hergestellt wurde, wird ein Dialogfeld mit Informationen über den Speicherort des hochgeladenen Schlüssels auf dem Host angezeigt. In den meisten Fällen müssen Sie diese Einstellungen nicht ändern. Weitere Informationen finden Sie in den nachstehenden Hinweisen.
Hinweis
- Hochladen ist nicht verfügbar, wenn der Schlüsselagent gesperrt ist.
- Das Dialogfeld Öffentlichen Schlüssel hochladen wird mit Informationen zum Übertragungsvorgang angezeigt. Klicken Sie auf OK, um dieses Dialogfeld zu schließen.
- Schlüssel, die zu Hosts mit aktiven Reflection for Secure IT-, F-Secure- und SSH Communications (SSH Tectia)-Servern hochgeladen werden, werden in das SECSH-Format exportiert. Diese Schlüssel werden standardmäßig im Verzeichnis
.ssh2
des Benutzers installiert, und in der Dateiauthorization
wird ein entsprechenderKEY
-Eintrag erstellt. Wenn diese Datei noch nicht vorhanden ist, wird sie neu erstellt, und es werden ihr die entsprechenden Dateiberechtigungen zugewiesen. - Schlüssel, die auf Hosts mit aktiven OpenSSH-Servern hochgeladen werden, werden im OPENSSH-Format exportiert. Sie werden standardmäßig der Datei
authorized_keys
hinzugefügt, die sich im.ssh2
-Verzeichnis des Benutzers befindet. Wenn diese Datei noch nicht vorhanden ist, wird sie neu erstellt, und es werden ihr die entsprechenden Dateiberechtigungen zugewiesen.
Importieren von Schlüsseln in den Schlüsselagenten
- Wählen Sie Datei > Privaten Schlüssel importieren.
Hinweis
Privaten Schlüssel importieren ist nicht verfügbar, wenn der Schlüsselagent gesperrt ist.
Nach dem Import bleibt der ursprüngliche Schlüssel in seinem bisherigen Verzeichnis gespeichert. Dem Agenten wird lediglich eine verschlüsselte Kopie des Schlüssels hinzugefügt. Wenn der importierte Schlüssel mit einer Passphrase verschlüsselt ist, werden Sie zur Eingabe der Passphrase aufgefordert.
Weitere Informationen
Importieren von Zertifikaten in den Schlüsselagenten
-
Starten Sie den Schlüsselagenten und heben Sie die Sperrung auf.
-
Wählen Sie im Menü ** Datei die Option Zertifikat aus \<Speicher> importieren
** aus. Es werden alle von Ihnen ausgewählten Zertifikate angezeigt, die derzeit im Zertifikatspeicher enthalten sind.
-
Wählen Sie das Zertifikat aus, das Sie importieren möchten, und wählen Sie dann OK aus.
Exportieren von öffentlichen Schlüsseln
Sie können öffentliche Schlüssel im Textformat aus den im Reflection-Schlüsselagenten gespeicherten Schlüsseln exportieren.
So exportieren Sie einen öffentlichen Schlüssel im Textformat
-
Wählen Sie den öffentlichen Schlüssel aus, den Sie exportieren möchten.
-
Wählen Sie Datei > Öffentlichen Schlüssel exportieren.
Der Agent exportiert den öffentlichen Schlüssel für den aktuell ausgewählten Schlüssel.
Hinweis
Der Schlüsselagent exportiert Schlüssel standardmäßig mit dem nativen Format der Rocket Software-Anwendung.
-
(Optional) Aktivieren Sie das Kontrollkästchen In OpenSSH-Format speichern, um den Schlüssel in das von OpenSSH-Servern verwendete Format zu exportieren.
Hinweis
- Wenn Sie einen öffentlichen Schlüssel auf einen Secure Shell-Server hochladen möchten, können Sie dies mithilfe der Schaltfläche Hochladen in einem Schritt erledigen, ohne den Schlüssel zuvor zu exportieren. Das Dienstprogramm zum Hochladen legt automatisch das korrekte Schlüsselformat für den angegebenen Server fest.
- Öffentlichen Schlüssel exportieren ist nicht verfügbar, wenn der Schlüsselagent gesperrt ist.
Entferntes Hinzufügen von Schlüsseln erlauben
Sie können die Rocket Software-Anwendung so konfigurieren, dass sie automatisch Schlüssel zum Reflection-Schlüsselagenten hinzufügt, wenn Sie sie auf einem Remotehost hinzufügen.
So aktivieren Sie diese Funktion
-
Wählen Sie im Menü Optionen des Schlüsselagenten die Option Entferntes Hinzufügen von Schlüsseln erlauben.
-
Öffnen Sie das Dialogfeld Secure Shell-Einstellungen.
-
Wählen Sie im seitlichen Menü Benutzerschlüssel und dann Allow agent forwarding (Agentenweiterleitung zulassen) aus.
Hinweis
Die Agentenweiterleitung muss auch auf dem Host aktiviert sein.
Entferntes Löschen von Schlüsseln erlauben
Sie können die Rocket Software-Anwendung so konfigurieren, dass sie automatisch Schlüssel aus dem Reflection-Schlüsselagenten entfernt, wenn Sie sie auf einem Remotehost löschen.
So aktivieren Sie diese Funktion
-
Wählen Sie im Menü Optionen des Schlüsselagenten die Option Entferntes Löschen von Schlüsseln erlauben.
-
Öffnen Sie das Dialogfeld Secure Shell-Einstellungen.
-
Wählen Sie im seitlichen Menü Benutzerschlüssel und dann Allow agent forwarding (Agentenweiterleitung zulassen) aus.
Hinweis
Die Agentenweiterleitung muss auch auf dem Host aktiviert sein.
Private Schlüsselvorgänge bestätigen
Sie können in der Konfiguration festlegen, ob der Schlüsselagent eine Meldung ausgeben soll, wenn mit einem Schlüssel im Agenten eine Verbindung hergestellt wird.
So konfigurieren Sie private Schlüsselvorgänge
-
Aktivieren bzw. deaktivieren Sie im Menü Optionen des Schlüsselagenten die Option Private Schlüsselvorgänge bestätigen.
Der Schlüsselagent zeigt bei jeder Verbindung, die unter Verwendung eines im Agenten befindlichen Schlüssels hergestellt wird, ein Bestätigungsdialogfeld an. Wenn die Funktion deaktiviert ist, erfolgt im Hintergrund ein Schlüsselaustausch, und die Verbindung wird ohne Meldung hergestellt.
RSA-Signaturen auf SHA1 einschränken
Aus Gründen der Kompatibilität mit älteren Servern können Sie den Agenten so konfigurieren, dass er beim Antworten auf Agentenidentitätsanforderungen nur RSA-Signaturen enthält, die SHA1 verwenden.
Hinweis
Die Agentenweiterleitung an bestimmte Server wird möglicherweise aufgrund der Länge der Antwort auf die Listenanforderung nicht unterstützt, wenn diese Option deaktiviert ist.
Dialogfeld "Schlüssel generieren"
Wegweiser
- Starten des Schlüsselagenten.
- Wählen Sie Schlüssel generieren aus.
Unter Secure Shell erfolgt die Schlüssel-Authentifizierung mit einem Schlüsselpaar aus privatem und öffentlichem Schlüssel. In diesem Dialogfeld können Sie ein neues Schlüsselpaar erstellen und es dem Schlüsselagenten hinzufügen. Wenn Sie mit dem Schlüsselagenten Schlüssel generieren, bleibt der private Schlüssel stets verschlüsselt und kann nur vom Reflection-Schlüsselagenten verwendet werden.
Die Optionen sind:
Name | Geben Sie einen Namen für diesen Schlüssel ein. |
Typ | Gibt den Algorithmus zum Generieren des Schlüssels an. |
Länge | Gibt die Schlüssellänge an. Bis zu einem gewissen Grad kann die Sicherheit durch Verwendung eines längeren Schlüssels erhöht werden. Ein längerer Schlüssel verlangsamt den Verbindungsaufbau, hat jedoch keinerlei Auswirkungen auf die Geschwindigkeit der Ver- bzw. Entschlüsselung des Datenstroms, sobald die Verbindung hergestellt wurde. Die empfohlene Schlüssellänge hängt von zahlreichen Faktoren ab: Schlüsseltyp, Lebensdauer des Schlüssels, Wert der zu schützenden Daten, für einen potenziellen Angreifer verfügbare Ressourcen, Länge des symmetrischen Schlüssels, den Sie in Verbindung mit diesem asymmetrischen Schlüssel verwenden usw. Wir empfehlen Ihnen, mit dem für die Sicherheit verantwortlichen Mitarbeiter abzustimmen, welche Lösung für Ihr Unternehmen am besten geeignet ist. |
Hinweis
Es können nur öffentliche Schlüssel aus dem Agenten exportiert werden.