PKI und Zertifikate
PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel) ist ein System, das durch die Verwendung digitaler Zertifikate eine sichere Kommunikation ermöglicht. Sie können eine PKI sowohl für die Host- als auch für die Benutzerauthentifizierung verwenden.
Wie bei der Authentifizierung mit öffentlichen Schlüsseln werden bei der Zertifikatauthentifizierung Schlüsselpaare aus privaten und öffentlichen Schlüsseln zur Prüfung der Hostidentität verwendet. Bei der Zertifikatauthentifizierung sind die öffentlichen Schlüssel in digitalen Zertifikaten enthalten, und es werden zwei Schlüsselpaare verwendet. Beispielsweise besitzt der Host für die Serverauthentifizierung den einen privaten Schlüssel und die Zertifizierungsstelle den zweiten. Der Host erhält von der Zertifizierungsstelle ein Zertifikat. Dieses Zertifikat enthält Informationen über den Host, eine Kopie des öffentlichen Hostschlüssels sowie eine digitale Signatur, die mit dem privaten Schlüssel der Zertifizierungsstelle erstellt wurde. Während des Authentifizierungsvorgangs wird dieses Zertifikat an den Client gesendet. Um die Integrität der vom Host empfangenen Information zu überprüfen, muss der Client eine Kopie des öffentlichen Schlüssels der Zertifizierungsstelle besitzen, der im Stammzertifikat der Zertifizierungsstelle enthalten ist. Es ist nicht erforderlich, dass der Client eine Kopie des öffentlichen Hostschlüssels besitzt.
Die Zertifikatauthentifizierung behebt einige der Probleme, die bei der Authentifizierung mit öffentlichen Schlüsseln auftreten. Beispielsweise muss der Systemadministrator bei einer Hostauthentifizierung mit öffentlichen Schlüsseln entweder Hostschlüssel für jeden Server an die Hostspeicher der einzelnen Clients verteilen, oder er muss darauf vertrauen, dass die Clientbenutzer die Hostidentität korrekt bestätigen, wenn sie die Verbindung zu einem unbekannten Host aufbauen. Bei der Authentifizierung mit Zertifikaten genügt ein Stammzertifikat der Zertifizierungsstellen, um mehrere Hosts zu authentifizieren. Das erforderliche Zertifikat ist in vielen Fällen bereits im Windows-Zertifikatspeicher enthalten.
Genauso verhält es sich bei der Clientauthentifizierung mit öffentlichen Schlüsseln. Jeder öffentliche Schlüssel für den Client muss auf den Server hochgeladen werden, und der Server muss so konfiguriert sein, dass er diesen Schlüssel erkennt. Wird die Zertifikatauthentifizierung verwendet, genügt ein Stammzertifikat der Zertifizierungsstelle, um mehrere Clientbenutzer zu authentifizieren.
Zertifikatspeicher
Digitale Zertifikate werden auf Ihrem Computer in Zertifikatspeichern verwaltet. Ein Zertifikatspeicher enthält die Zertifikate, die Sie zur Identifizierung entfernter Kommunikationspartner verwenden. Darüber hinaus kann er auch persönliche Zertifikate enthalten, mit denen Sie sich gegenüber den entfernten Kommunikationspartnern identifizieren. Persönlichen Zertifikaten ist ein privater Schlüssel auf Ihrem Computer zugewiesen.
Sie können digitale Zertifikate verwenden, die sich in einem oder beiden der folgenden Speicher befinden:
-
Windows-Zertifikatspeicher
Dieser Speicher kann von einer Reihe von Anwendungen, Webbrowsern und E-Mail-Clients verwendet werden. Einige Zertifikate werden bereits beim Installieren des Windows-Betriebssystems in diesem Speicher abgelegt. Andere werden möglicherweise hinzugefügt, wenn Sie Verbindungen mit Internetsites herstellen und diese als vertrauenswürdig einstufen oder wenn Sie eine verschlüsselte bzw. digital signierte E-Mail erhalten. Sie können Zertifikate auch manuell in Ihren Windows-Speicher importieren. Zum Verwalten der Zertifikate in diesem Speicher können Sie die Windows-Zertifikatverwaltung nutzen.
-
Reflection-Zertifikatspeicher
Dieser Speicher wird ausschließlich von Rocket Software-Anwendungen verwendet. Wenn Sie diesem Speicher Zertifikate hinzufügen möchten, müssen Sie sie manuell importieren. Sie können Zertifikate aus Dateien importieren und Zertifikate auf Hardwaretoken (z. B. Smart Cards) verwenden. Zum Verwalten der Zertifikate in diesem Speicher können Sie den Reflection-Zertifikatmanager nutzen.
Sie können die Authentifizierung so konfigurieren, dass entweder nur die Zertifikate im Speicher des Reflection-Zertifikatmanagers oder die Zertifikate im Windows-Speicher und im Speicher des Reflection-Zertifikatmanagers verwendet werden. Wenn Sie für die Hostauthentifizierung den Windows-Zertifikatspeicher auswählen, müssen Sie möglicherweise keine zusätzlichen Zertifikate importieren, sofern die bereits verfügbaren Zertifikate für die Authentifizierung ausreichend sind. Indem Sie die Authentifizierung über den Windows-Zertifikatspeicher deaktivieren, haben Sie eine bessere Kontrolle darüber, welche Zertifikate für die Authentifizierung verwendet werden. Um die Authentifizierung mit dem Windows-Zertifikatspeicher zu aktivieren oder zu deaktivieren, öffnen Sie den Reflection-Zertifikatmanager, und klicken Sie auf die Registerkarte Vertrauenswürdige Zertifizierungsstellen.
PKI in Terminalsitzungen und FTP Client-Sitzungen
Die PKI-Authentifizierung wird in Secure Shell- sowie in SSL/TLS-Sitzungen unterstützt.
-
Alle SSL/TLS-Sitzungen erfordern Zertifikate für die Hostauthentifizierung. Ohne die erforderlichen Zertifikate können Sie keine Hostverbindung herstellen. Je nach Hostkonfiguration müssen Sie möglicherweise auch Zertifikate für die Benutzerauthentifizierung installieren.
-
Für Secure Shell-Sitzungen ist normalerweise neben der Host- auch eine Benutzerauthentifizierung erforderlich. Zertifikate können für die Host- und/oder die Benutzerauthentifizierung verwendet werden; sie sind jedoch nicht standardmäßig erforderlich.