4.7 Authentifizierung mit Zertifikaten in Extra!

In Extra!-Sessions, die SSL/TLS- oder SSH-Protokolle verwenden, kann die Clientauthentifizierung mithilfe digitaler Zertifikate Digitale Zertifikate sind ein wesentlicher Bestandteil einer PKI (Public Key Infrastructure; Infrastruktur öffentlicher Schlüssel). Digitale Zertifikate (auch als X.509-Zertifikate bezeichnet) werden von einer Zertifizierungsstelle ausgestellt, die die Richtigkeit der im Zertifikat enthaltenen Informationen sicherstellt. Jedes Zertifikat enthält Identifizierungsinformationen über den Zertifikatseigentümer, eine Kopie des öffentlichen Schlüssels des Zertifikatseigentümers (zum Ver- und Entschlüsseln von Nachrichten und digitalen Signaturen) und die von der Zertifizierungsstelle erstellte digitale Signatur des Zertifikatsinhalts. Anhand dieser Signatur bestätigt der Empfänger, dass das Zertifikat nicht manipuliert wurde und vertrauenswürdig ist. durchgeführt werden. Mit Zertifikaten können einige der Probleme behoben werden, die bei der Authentifizierung mit einem öffentlichen Schlüssel entstehen, beispielsweise das Hochladen einer Kopie des öffentlichen Schlüssels auf jeden Server durch den Client.

Ihr Computer muss so konfiguriert werden, dass er das durch den Host bereitgestellte Serverzertifikat erkennt und ggf. für die Clientauthentifizierung ein Clientzertifikat anbietet. Ist der Computer nicht richtig konfiguriert oder sind die für die Authentifizierung bereitgestellten Zertifikate nicht gültig, kann keine Verbindung hergestellt werden.

Durch Zertifizierungsstellen signierte oder selbstsignierte Zertifikate

Extra! akzeptiert durch eine Zertifizierungsstelle signierte sowie selbst signierte Zertifikate. Die durch eine Zertifizierungsstelle signierten Zertifikate sind durch entsprechende Erweiterungsflags gekennzeichnet. Für Serverzertifikate dieser Art wird im Feld „Antragsteller“ der Name des Servers oder Benutzers und im Feld „Aussteller“ die Zertifizierungsstelle angegeben, von der das Zertifikat signiert wurde. Zertifikate, mit denen die Serverzertifikate authentifiziert werden, müssen unter „Vertrauenswürdige Stammzertifizierungsstellen“ des Computers installiert werden.

Für selbstsignierte Zertifikate muss der Wert im Feld „Aussteller“ dem im Feld „Antragsteller“ genau entsprechen. (In diesem Fall ist das Subjekt ein Host anstelle einer Zertifizierungsstelle.) Wenn der Benutzer die Gültigkeit des selbstsignierten Zertifikats akzeptiert, wird dieses entweder manuell oder über eine Windows-Gruppenrichtlinie oder ein Anmeldeskript unter „Vertrauenswürdige Stammzertifizierungsstellen“ installiert.

Authentifizierungsvorgang

Die Authentifizierung kann je nach verwendetem Zertifikattyp und den in Extra! ausgewählten Sicherheitseinstellungen aus einem oder mehreren Prozessen bestehen. In allen Fällen überprüft Extra! jedoch das Zertifikat, um sicherzustellen, dass Datum und digitale Signatur gültig sind, wichtige Erweiterungen (z. B. die erweiterte Schlüsselverwendung) korrekt sind und mit der Schlüsselverwendung das Zertifikat zur Authentifizierung verwendet werden kann.

Die Authentifizierung kann außerdem Folgendes umfassen:

  • Muss die Serveridentität überprüft werden, vergleicht der Client den Hostnamen in der Session mit dem Eigennamen im Zertifikat.

  • Wenn Sie durch eine Zertifizierungsstelle signierte Zertifikate verwenden, überprüft Extra! alle im Zertifikat enthaltenen Zertifizierungsstellen: die ausstellende Zertifizierungsstelle, alle Zwischenstellen in der Zertifizierungskette sowie die vertrauenswürdige Zertifizierungsstelle (oder Stammzertifizierungsstelle). Dies wird auch als Pfadüberprüfung bezeichnet.

  • Wenn die Überprüfung auf gesperrte Zertifikate aktiviert ist, stellt der Client sicher, dass das Zertifikat nicht gesperrt wurde. Siehe Konfigurieren der Überprüfung auf gesperrte Zertifikate.

  • Beim Konfigurieren der serverseitigen Authentifizierung muss der Benutzer (Client) ein Zertifikat für die Authentifizierung bereitstellen. Für die Clientidentität verwendete Zertifikate werden im persönlichen Windows-Zertifikatspeicher des Benutzers gespeichert. Bei SSH-Verbindungen können Zertifikate auch im Reflection-Zertifikatmanager gespeichert werden.