Inhalt /Index /Suche anzeigen

Authentifizierung mit Zertifikaten in EXTRA!

In EXTRA!-Sessions, die SSL/TLS- oder SSH-Protokolle verwenden, kann die Clientauthentifizierung mithilfe digitaler Zertifikate durchgeführt werden. Mit Zertifikaten können einige der Probleme behoben werden, die bei der Authentifizierung mit einem öffentlichen Schlüssel entstehen, beispielsweise das Hochladen einer Kopie des öffentlichen Schlüssels auf jeden Server durch den Client.

Ihr Computer muss so konfiguriert werden, dass er das durch den Host bereitgestellte Serverzertifikat erkennt und ggf. für die Clientauthentifizierung ein Clientzertifikat anbietet. Ist der Computer nicht richtig konfiguriert oder sind die für die Authentifizierung bereitgestellten Zertifikate nicht gültig, kann keine Verbindung hergestellt werden.

Durch Zertifizierungsstellen signierte oder selbstsignierte Zertifikate

EXTRA! akzeptiert durch eine Zertifizierungsstelle signierte sowie selbstsignierte Zertifikate. Die durch eine Zertifizierungsstelle signierten Zertifikate sind durch entsprechende Erweiterungsflags gekennzeichnet. Für Serverzertifikate dieser Art gibt das Feld Antragsteller den Namen des Servers oder Benutzers und das Feld Aussteller die Zertifizierungsstelle an, von der das Zertifikat signiert wurde. Zertifikate, mit denen die Serverzertifikate authentifiziert werden, müssen unter Vertrauenswürdige Stammzertifizierungsstellen des Computers installiert werden.

Für selbstsignierte Zertifikate muss der Wert im Feld Aussteller dem im Feld Antragsteller genau entsprechen. (In diesem Fall ist das Subjekt ein Host anstelle einer Zertifizierungsstelle.) Wenn der Benutzer die Gültigkeit des selbstsignierten Zertifikats akzeptiert, wird dieses entweder manuell oder über eine Windows-Gruppenrichtlinie oder ein Anmeldeskript unter Vertrauenswürdige Stammzertifizierungsstellen installiert.

Der Authentifizierungsprozess

Die Authentifizierung kann je nach verwendetem Zertifikattyp und den in EXTRA! ausgewählten Sicherheitseinstellungen aus einem oder mehreren Prozessen bestehen. In allen Fällen überprüft EXTRA! jedoch das Zertifikat, um sicherzustellen, dass Datum und digitale Signatur gültig sind, wichtige Erweiterungen (z. B. die erweiterte Schlüsselverwendung) korrekt sind und mit der Schlüsselverwendung das Zertifikat zur Authentifizierung verwendet werden kann.

Die Authentifizierung kann außerdem Folgendes umfassen:

  • Muss die Serveridentität überprüft werden, vergleicht der Client den Hostnamen in der Session mit dem allgemeinen Namen im Zertifikat.
  • Wenn Sie durch eine Zertifizierungsstelle signierte Zertifikate verwenden, überprüft EXTRA! alle im Zertifikat enthaltenen Zertifizierungsstellen: die ausstellende Zertifizierungsstelle, alle Zwischenstellen in der Zertifizierungskette sowie die vertrauenswürdige Zertifizierungsstelle (oder Stammzertifizierungsstelle). Dies wird auch als Pfadüberprüfung bezeichnet.
  • (Nur SSH-Verbindungen) Wenn die Überprüfung auf gesperrte Zertifikate aktiviert ist, stellt der Client sicher, dass das Zertifikat nicht gesperrt wurde. Informationen hierzu finden Sie unter Konfigurieren der Überprüfung auf gesperrte Zertifikate (nur SSH).
  • Beim Konfigurieren der serverseitigen Authentifizierung muss der Benutzer (Client) ein Zertifikat für die Authentifizierung bereitstellen. Für die Clientidentität verwendete Zertifikate werden im persönlichen Windows-Zertifikatspeicher des Benutzers gespeichert. Bei SSH-Verbindungen können Zertifikate auch im Reflection-Zertifikatmanager gespeichert werden.