Inhalt /Index /Suche anzeigen

PKI - Überblick

PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel) ist ein System, das durch die Verwendung digitaler Zertifikate eine sichere Kommunikation ermöglicht. Reflection unterstützt die Verwendung einer PKI für die Host- und Benutzerauthentifizierung im Rahmen von Secure Shell- und SSL/TLS-Sitzungen.

Authentifizierung

Bei der Authentifizierung wird die Identität des Kommunikationspartners zuverlässig überprüft. Die Identität kann durch Ihnen bekannte Daten (z. B. ein Kennwort), durch etwas in Ihrem Besitz (z. B. ein privater Schlüssel oder Token) oder ein eindeutiges Merkmal (z. B. Fingerabdrücke) nachgewiesen werden. Bei einer typischen Telnet-Verbindung mit einem Remotehost authentifiziert sich der Benutzer mit einem Kennwort, der Host selbst wird jedoch nicht authentifiziert. Bei den meisten sicheren Protokollen, u. a. Secure Shell und SSL/TLS, ist dagegen eine Hostauthentifizierung erforderlich. Bei Secure Shell- und SSL/TLS-Sitzungen erfolgt die Hostauthentifizierung über die Kryptografie öffentlicher Schlüssel. Außerdem können beide Sitzungstypen so konfiguriert werden, dass die Kryptografie öffentlicher Schlüssel auch für die Benutzerauthentifizierung verwendet wird.

Kryptografie öffentlicher Schlüssel

Bei der Kryptografie öffentlicher Schlüssel dient ein mathematischer Algorithmus dazu, Daten mit einem Schlüsselpaar aus privatem und öffentlichem Schlüssel erst zu verschlüsseln und dann wieder zu entschlüsseln. Bei einem der Schlüssel handelt es sich um einen öffentlichen Schlüssel, der den Kommunikationspartnern frei zugewiesen wird. Der andere Schlüssel ist ein privater Schlüssel, der vom Eigentümer sicher verwahrt werden sollte. Die mit dem privaten Schlüssel verschlüsselten Daten können nur mithilfe des öffentlichen Schlüssels entschlüsselt werden und umgekehrt.

Bei der Authentifizierung über Schlüssel erstellt der zu authentifizierende Kommunikationspartner eine digitale Signatur, bei der die private Komponente des Schlüsselpaars aus öffentlichem und privatem Schlüssel verwendet wird. Der Empfänger überprüft mit dem entsprechenden öffentlichen Schlüssel die Authentizität der digitalen Signatur. Folglich muss der Empfänger über eine Kopie des öffentlichen Schlüssels seines Kommunikationspartners verfügen und der Authentizität dieses Schlüssels vertrauen.

Digitale Zertifikate

Digitale Zertifikate sind ein wesentlicher Bestandteil einer PKI (Public Key Infrastructure). Zertifikate werden von einer Zertifizierungsstelle ausgegeben, wodurch die Gültigkeit der im Zertifikat enthaltenen Informationen sichergestellt ist. Jedes Zertifikat enthält Identifizierungsinformationen über den Zertifikatseigentümer, eine Kopie des öffentlichen Schlüssels des Zertifikatseigentümers (zum Ver- und Entschlüsseln von Nachrichten und digitalen Signaturen) und die von der Zertifizierungsstelle erstellte digitale Signatur des Zertifikatsinhalts. Anhand dieser Signatur bestätigt der Empfänger, dass das Zertifikat nicht manipuliert wurde und vertrauenswürdig ist.

Speicher für digitale Zertifikate

Digitale Zertifikate werden auf Ihrem Computer in Zertifikatspeichern verwaltet. Ein Zertifikatspeicher enthält die Zertifikate, die Sie zur Identifizierung entfernter Kommunikationspartner verwenden. Darüber hinaus kann er auch persönliche Zertifikate enthalten, mit denen Sie sich gegenüber den entfernten Kommunikationspartnern identifizieren. Persönlichen Zertifikaten ist ein privater Schlüssel auf Ihrem Computer zugewiesen.

Reflection kann für die Verwendung digitaler Zertifikate konfiguriert werden, die sich in mindestens einem der beiden folgenden Speicher befinden:

  • Windows-Zertifikatspeicher

    Dieser Speicher kann von einer Reihe von Anwendungen verwendet werden, u. a. Reflection, Webbrowsern und E-Mail-Clients. Einige Zertifikate werden bereits beim Installieren des Windows-Betriebssystems in diesem Speicher abgelegt. Andere werden möglicherweise hinzugefügt, wenn Sie Verbindungen mit Internetsites herstellen und diese als vertrauenswürdig einstufen oder wenn Sie eine verschlüsselte bzw. digital signierte E-Mail erhalten. Sie können Zertifikate auch manuell in Ihren Windows-Speicher importieren. Zum Verwalten der Zertifikate in diesem Speicher können Sie die Windows-Zertifikatsverwaltung nutzen.

  • Reflection-Zertifikatspeicher

    Dieser Speicher wird ausschließlich von Reflection-Anwendungen verwendet. Wenn Sie diesem Speicher Zertifikate hinzufügen möchten, müssen Sie sie manuell importieren. Sie können Zertifikate aus Dateien importieren und Zertifikate auf Hardwaretoken (z. B. Smart Cards) verwenden. Zum Verwalten der Zertifikate in diesem Speicher können Sie den Reflection-Zertifikatmanager nutzen.

Reflection-Anwendungen können so konfiguriert werden, dass für die Authentifizierung entweder nur die Zertifikate im Reflection-Speicher oder die Zertifikate im Windows- und im Reflection-Speicher verwendet werden. Wenn Sie für die Hostauthentifizierung den Windows-Zertifikatspeicher auswählen, müssen Sie möglicherweise keine zusätzlichen Zertifikate importieren, sofern die bereits verfügbaren Zertifikate für die Authentifizierung ausreichend sind. Indem Sie die Authentifizierung über den Windows-Zertifikatspeicher deaktivieren, haben Sie eine bessere Kontrolle darüber, welche Zertifikate für die Authentifizierung verwendet werden. Weitere Informationen finden Sie unter Aktivieren bzw. Deaktivieren der Windows-Zertifikatspeicherverwendung.

PKI in Reflection-Sitzungen

In Reflection-Sitzungen wird die PKI-Authentifizierung sowohl für Secure Shell- als auch für SSL/TLS-Sitzungen unterstützt.

  • Alle SSL/TLS-Sitzungen erfordern Zertifikate für die Hostauthentifizierung. Ohne die erforderlichen Zertifikate können Sie keine Hostverbindung herstellen. Je nach Hostkonfiguration müssen Sie möglicherweise auch Zertifikate für die Benutzerauthentifizierung installieren. Weitere Informationen finden Sie unter Digitale Zertifikate in SSL/TLS-Sitzungen.
  • Für Secure Shell-Sitzungen ist normalerweise neben der Host- auch eine Benutzerauthentifizierung erforderlich. Zertifikate können für die Host- und/oder die Benutzerauthentifizierung verwendet werden; sie sind jedoch nicht standardmäßig erforderlich. Weitere Informationen finden Sie unter Digitale Zertifikate in Secure Shell-Sitzungen.