Sichere Verbindungen
Host Access for the Cloud verwendet Transport Layer Security (TLS) für die verschlüsselte, sichere Kommunikation zwischen Client-Webbrowsern, Sitzungsservern, MSS und Back-End-Hosts.
Überblick
Public Key Infrastructure (PKI)
TLS verwendet PKI (Public Key Infrastructure; Infrastruktur für öffentliche Schlüssel) zur Implementierung der Sicherheit. PKI verwendet öffentliche und private Schlüssel, um die Client- und Serverkommunikation zu sichern. Öffentliche und private Schlüssel sind aus mathematischer Sicht ähnlich, weisen jedoch einige Unterschiede auf. Eine mit einem öffentlichen Schlüssel verschlüsselte Nachricht kann nur mit dem privaten Schlüssel entschlüsselt werden. Zusammen werden diese Schlüssel als Schlüsselpaar bezeichnet.
Zertifikate
Digitale Zertifikate sind Berechtigungsnachweise, die zur Überprüfung von Personen, Computern und Netzwerken verwendet werden. Sie stellen die Verknüpfung zwischen einem öffentlichen Schlüssel und einer Organisation dar, die von einem verbürgten Dritten, einer sogenannten Zertifizierungsstelle, überprüft (signiert) wurde. Mithilfe digitaler Zertifikate lassen sich öffentliche Verschlüsselungsschlüssel bequem verteilen.
Keystores
Zertifikate und private Schlüssel werden in Java-Keystores gespeichert. Keystore-Eintrage werden mit einer eindeutigen Kennung, dem sogenannten Alias, identifiziert. Oft werden private Schlüssel und Zertifikate mit ihrem entsprechenden öffentlichen Schlüssel separat von den Zertifikaten gespeichert, die von den zu Verbürgungszwecken eingesetzten Dritten empfangen werden. Dieser separate Keystore wird als Truststore bezeichnet. Ein Truststore enthält Zertifikate von möglichen Kommunikationspartnern oder von Zertifizierungsstellen, die zur Identifizierung von Dritten eingesetzt werden.
Standardmäßige sichere Installation
Während der Installation von Host Access for the Cloud und MSS werden eigensignierte Zertifikate generiert, ausgetauscht und dann zum Sichern der gesamten Kommunikation zwischen Sitzungsserver, Webbrowsern und MSS verwendet. Eigensignierte Zertifikate sind Identitätszertifikate, die von der Entität signiert sind, deren Identität sie zertifizieren.
Sowohl Sitzungsserver als auch MSS-Server verwenden ihre generierten eigensignierten Zertifikate, um sich bei Remoteclients wie Webbrowsern und anderen Sitzungsservern oder MSS-Servern zu identifizieren. Diese eigensignierten Zertifikate und die zugehörigen privaten Schlüssel werden in den entsprechenden Keystores gespeichert.
Um die sichere Kommunikation zwischen den Clients (Webbrowser, Sitzungsserver und MSS-Server) abzuschließen, müssen die Clients das generierte eigensignierte Zertifikat verbürgen. Der Sitzungsserver verbürgt das MSS-Zertifikat während der Installation und speichert es im eigenen Truststore. Auf die gleiche Weise ruft MSS während der Installation das Zertifikat des Sitzungsservers ab und speichert es im eigenen Truststore.
Siehe Vom Sitzungsserver verwendete Stores
Die MSS-Verwaltungskonsolenhilfe enthält im Abschnitt General Security and Certificates (Allgemeine Sicherheit und Zertifikate) detaillierte Informationen zur allgemeinen Sicherheit und zu Zertifikaten.