Trust Authority: Benutzerhandbuch - FTP Directory Listing
Contents
1. Nehmen Sie ber Ihren Browser Zusrifil auf die Registrierungs Web Seite ffnen Sie ber Registrierungsart die Liste und w hlen Sie Server oder Ein heitenzertifikat aus W hlen Sie ber Aktion die Option Registrieren aus Klicken Sie auf OK Das angeforderte Registrierungsformular wird angezeigt Befolgen Sie die Anweisungen auf der Nein Seite um die am des Tar ulars auszuf llen Im Abschnitt werden die Felder ee Das Taa enth lt die Folgenden Abschnitte Einen Abschnitt f r die Registrierungsinformationen mit Textfenstern in die Sie die Informationen zu Ihrer Person eingeben e Einen Abschnitt f r die Zertifikatsanforderungsinformationen mit Text fenstern in die Sie die Informationen ber das f r den Server oder die Ein heit gew nschte Zertifikat eingeben Wenn Sie in die Kanneingabefelder des Kapitel 3 Informationen zur Vorgehensweise 7 8 jeweiligen Abschnitts keine Werte eintragen setzt Trust Authority Standard werte ein die dem von Ihnen angeforderten Zertifikatstyp zugeordnet sind Bitte achten Sie insbesondere auf die folgenden Felder Zertifikatstyp W hlen Sie die katd aus das Sie f r Ihr Unternehmen anfordern sollen Im Abschnitt Verf ghard ertifikatstypen a eite 34 werden die Zertifikatstypen beschrieben CA Zertifikat in Datei sichern Klicken Sie hier um ein entsprechendes KA Zertifikatl abzurufen das mit dem Zertifikatstyp vereinbar ist Ihr Browser fordert Sie a2. Java Von Sun Microsystems Incorporated entwickelte plattformunabh ngige Computertechnologien die f r den Netzbetrieb optimiert sind Die Java Umgebung besteht aus dem Java Betriebssystem Java OS den virtuellen Maschinen f r verschiedene Plattformen der Glossar 59 objektorientierten Java Programmiersprache und einer Reihe von Klassenbibliotheken Java Virtual Machine JVM Der Teil der Java Laufzeitumgebung der zum Interpretieren von Byteco des eingesetzt wird Java Anwendung Ein eigenst ndiges Programm das in der Programmiersprache Java geschrieben ist Es wird au erhalb eines Web Browsers ausgef hrt Java Applet Siehe Applet Gegensatz zu Java Anwendung Java Klasse Eine Einheit mit Java Programmcode Java Sprache Eine von Sun Microsystems entwickelte Programmiersprache die speziell f r die Verwendung in Applet und Agent Anwendungen konzipiert wurde K KeyStore Schl sselspeicher Eine DL zum Speichern von Identit tsnachweisen f r Trust Authority Komponenten z B Schl ssel und Zertifikate in einem verschl sselten Format Klartext Nicht verschl sselte Daten Synonym zu unverschl sselter Text Klasse Beim objektorientierten Entwurf bzw bei der objektorientierten Programmierung eine Gruppe von Objekten die ber eine gemeinsame Definition verf gen und aus diesem Grund mit denselben Merkmalen Verarbeitungsoperationen und Funktionsweisen arbei ten Kryptographie Bei der Si
3. ber das Internet auszuf h ren In gewisser Weise hat ein digitales Zertifikat eine hnliche Funktion wie ein F hrerschein oder ein Meisterbrief Es best tigt da der Inhaber des entspre chenden privaten Schl ssels berechtigt ist bestimmte e Business Aktivit ten auszuf hren Ein Zertifikat enth lt Informationen ber die Entit t die von ihm zertifiziert wird gibt an ob es sich um eine Person eine Maschine oder ein Computer programm handelt und enth lt als Teil dieser Informa tionen den zertifizierten ffentlichen Schl ssel dieser Entit t Directory Eine hierarchische Struktur die als globales Repository f r Informationen zur Datenkommunikation wie beispielsweise E Mail oder Austausch von ver schl sselten Daten konzipiert ist Im Directory werden bestimmte Elemente gespeichert die f r die PKI Struktur PKI Public Key Infrastructure unbedingt erforderlich sind Hierzu geh ren die folgenden Ele mente ffentliche Schl ssel Zertifikate und Zertifikats widerrufslisten CRLs Die Daten im Directory sind hierarchisch in einer Baumstruktur organisiert wobei die oberste Ebene der Baumstruktur das Root Verzeichnis ist H ufig stehen Glossar 57 Organisationen einer h heren Ebene f r einzelne L n der Regierungen oder Unternehmen Benutzer oder Einheiten werden im allgemeinen als Blatter einer solchen Baumstruktur dargestellt Diese Benutzer Orga nisationen Standorte L nder und Einheiten hab
4. fe einer Spalte um mehr Daten anzuzeigen 2 Wahlen Sie die Zertifikate aus die Sie erneuern wollen und klicken Sie auf OK Der Dialog Zertifikat erneuern wird f r jedes ausgew hlte Zertifikat ange zeigt Auf Seite Lil wird dieser Dialog beschrieben 3 F llen Sie f r jedes Zertifikat die Felder des Dialogs aus und klicken Sie auf OK Anmerkung Wenn Sie keine Zertifikate ausw hlen k nnen Sie den Dialog einfach schlie en indem Sie auf OK klicken Ein Zertifikat widerrufen F hren Sie im Fenster die folgenden Aktionen aus 1 W hlen Sie das Zertifikat aus das Sie widerrufen wollen 2 ffnen Sie das Men Zertifikat und klicken Sie auf Widerrufen 3 Der Dialog Zertifikat widerrufen wird angezeigt Auf Seite ks wird dieser Dialog beschrieben 4 Uberpriifen Sie im Dialog die Beschreibung des Zertifikats Auf Seite 4 werden die angezeigten Details beschrieben 5 Bei Begriindung fiir den Widerruf w hlen Sie einen Grund aus warum Sie 2 Z werden die zulassigen Gr nde aufgelistet 6 W hlen Sie ber die URL der RA sofern das Feld nicht bereits ausgef llt ist die URL der Registrierungsstelle aus die Ihre urspr ngliche Zertifikatsanforde rung genehmigt hat oder geben Sie die entsprechende URL ein Anmerkung Sie haben diese URL im Anschlu an Ihre Vorabregistrierung erhalten und haben sie verwendet um Ihr Zertifikat anzufordern 7 Klicken Sie auf OK oder klicken Sie auf Abbrechen wenn Sie I
5. 10 Zertfikatsanforderung die von dem Server bzw der Einheit generiert wurde f r den bzw die Sie ein Zertifikat anfordern Wenn die Anforderung in einer Datei gespeichert wurde ffnen Sie die Datei mit einem Texteditor wie beispielsweise Windows Notepad Kopieren Sie den Inhalt und f gen Sie ihn in das Textfenster des Registrierungsformulars ein Allgemeiner Name Dies ist ein Name zur Identifizierung dieses Zertifikats e Bei Personen ist dies normalerweise der vollst ndige Name der betref fenden Person Bei Servern oder Einheiten ist dies gew hnlich der Host Name Sie m ssen diesen Wert eingeben wenn im Feld f r die PKCS 10 Zertifikatsanforderung kein Host Name vorhanden ist Schl sselgr e Nur Netscape Browser Registrierung Dies ist die Schl sselgr e f r das Schl sselpaar aus ffentlichem und privatem Schl ssel W hlen Sie einen Wert aus Gr ere Schl ssel sind sicherer verl ngern jedoch auch die Zeit die erforderlich ist um eine Verbindung zu einer sicheren Sitzung herzu stellen 34 Trust Authority Benutzerhandbuch Verschl sselungsserviceanbieter Nur Internet Explorer Browser Registrierung Dies ist der Verschl sselungs serviceanbieter Cryptographic Service Provider CSP der Ihr Schl ssel paar aus ffentlichem und privatem Schl ssel generieren soll W hlen Sie einen Wert aus Gr ere Schl ssel sind sicherer verl ngern jedoch auch die Zeit die erforderlich ist um eine Verbin
6. MD5 With RSA Generiert eine Unterschrift indem die Nachrichtenauszugsfunktion MD5 auf die im RSA Standard definierte Unterschriftenberechnung angewandt wird Der MD5 Algorithmus ist schneller als SHA 1 Allerdings erstellt SHA 1 einen gr eren Nachrichtenauszug so da es m glicherweise schwieriger ist diese Unterschrift unbefugt zu manipulieren Wenn Sie Dateien vor dem Unterzeichnen anzeigen wollen klicken Sie auf Anzei gen Mit dieser Aktion wird die Anwendung aufgerufen die dem Dateityp der unterzeichneten Datei zugeordnet ist Dialog Smart Card Eigenschaften In diesem Dialog k nnen Sie die Informationen zu der ge ffneten Kmart Cardl berpr fen Smart Card Der Name der Smart Card PKCS 11 Version Die Stufe der PKCS 11 Verschl sselung 46 Trust Authority Benutzerhandbuch CDSA Version Die Stufe der Common Data Security Architecture Sicherheits architektur f r Basisdaten die die Smart Card w hrend der Verschl sse lung und Datenspeicherung verwendet Sie k nnen diese Smart Card nicht mit einer Smart Card Software verwenden die eine ltere als die aufge f hrte CDSA Version unterst tzt Verf gbarer Speicherplatz auf der Smart Card Der verbleibende Speicherplatz zum Sichern von Zertifikaten und Zertifi katsanforderungen Hilfe f r die Client Anwendung Die Client Anwendung stellt folgende Hilfefunktionen zur Verf gung e Das Fenster Smart Card verf gt ber das Men Hilfe mit
7. die Sie erhalten haben ber den Knopf Anzeigen k nnen Sie den Pfad und Dateinamen ausw hlen anstatt diese Angaben manuell einzugeben Kennwort Geben Sie das Kennwort ein das Sie zum Abruf Ihres Zertifikats erhalten haben 42 Trust Authority Benutzerhandbuch Dialog Neues Zertifikat unter Verwendung einer Transaktions ID Wenn Ihr Unternehmen die entsprechende Option gew hlt hat werden nach Ein gabe des Kennworts die Attribute und Werte angezeigt die Ihrer Zertifikatsanfor derung zugeordnet sind Einige dieser Werte k nnen unter Umst nden bearbeitet werden In diesem Dialog k nnen Sie sich f r ein Zertifikad registrieren lassen indem Sie die Transaktionsdaten verwenden die Sie vom Administrator der Sie hat erhalten haben Sie haben diese Daten entweder per E Mail oder Tele fonanruf erhalten Geben Sie diese Daten in den Dialog ein Transaktions ID Geben Sie die Transaktions ID ein die Sie zum Erstellen des neuen Zertifi kats erhalten haben Kennwort Geben Sie das Kennwort ein das Sie zum Abruf des Zertifikats erhalten haben URL der RA Wahlen Sie aus der Liste die URL aus die Sie erhalten haben oder geben Sie die entsprechende URL in das Textfenster ein Beispiel pkix lt your server gt lt your port gt wobei folgendes gilt lt your server gt ist der Host Name Ihrer RA und lt your port gt ist der Anschlu ber den auf die ent sprechende URL zugegriffen werden kann Schl sselalgori
8. nenname Geben Sie den Namen der Maschine an auf der das Zertifikat instal liert wird falls sie mit der Verwendung des Zertifikats in Zusammen hang steht F r Vorabregistrierungszertifikate ist dieses Feld wahlfrei Verwenden Sie das Feld nur wenn Sie dazu entsprechende Anweisun gen erhalten haben 6 Klicken Sie auf Registrierungsanforderung bergeben Nachdem Trust Authority das Registrierungsformular erhalten hat geschieht folgendes e Wenn das Formular Fehler enth lt werden diese Fehler angezeigt Nehmen Sie die entsprechenden nderungen vor und klicken Sie auf Registrierungs anforderung erneut bergeben Wenn das Formular keine Fehler enth lt wird ihre Anforderungs ID auf einer anderen Web Seite angezeigt 7 Sie sollten Ihre Anforderungs ID auf jeden Fall notieren Sie dient sp ter zu Ihrer Identifizierung damit Sie den Status der Anforderung k nnen und Ihr Zertifikat nach dessen Fertigstellung erhalten F hren Sie einen der folgenden Schritte aus wie auf der Web Seite beschrieben e Markieren Sie die Web Seite mit einem Lesezeichen damit Sie ohne Schwie rigkeiten zu dieser Anzeige zur ckkehren und den Status Ihres Zertifikats berpr fen k nnen Notieren Sie die Anforderungs ID damit Sie diese angeben k nnen wenn Sie zur ckkehren Warten Sie bis Ihnen die Anforderungs ID per E Mail zugesandt wird Den Registrierungsstatus berpr fen Um den Status Ihrer Registrierungsanforderung zu be
9. ri gen Dokumentation aufgef hrt werden Hewlett Packard Company macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikationen und ohne Gew hrleistung bereitgestellt Dieses Programm enth lt STL Software STL Standard Template Library von Silicon Graphics Computer Systems Inc Copyright c 1996 1999 e Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh rigen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist allerdings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh ri gen Dokumentation aufgef hrt werden Silicon Graphics macht keine Angaben zur Eignung dieser Software f r bestimmte Zwecke Sie wird ohne Modifikatio nen und ohne Gew hrleistung bereitgestellt Andere Namen von Unternehmen Produkten oder Dienstleistungen k nnen Mar ken anderer Unternehmen sein Bemerkungen 51 52 Trust Authority Benutzerhandbuch Bezugsinformationen Die Trust Authority Produktdokumentation steht auf der CD ROM IBM SecureWay Trust Authority Dokumentation im PDF Format Portable Document Format und im HTML Format zur Verf gung Die HTML Versionen einiger Ver ffentlichungen sind mit dem Produkt installiert und k nnen ber die Benutzerschnittstelle abgeru fen werden Bitte beachten
10. Anmerkung Wenn Sie nicht in der Lage sind die Client Anwendung zu deinstal lieren versuchen Sie f r das System einen Warmstart durchzuf h ren Dadurch werden normalerweise gemeinsam benutzte Dateien freigegeben so da Sie diese l schen k nnen Wenn Sie das Men Software von Windows weiterhin nicht verwenden k nnen um die Anwendung zu deinstallieren m ssen Sie die Windows Registrierung m glicherweise manuell bearbeiten um die Client Eintr ge zu entfernen 24 Trust Authority Benutzerhandbuch Kapitel 4 Erl uterungen Die folgenden Abschnitte definieren und beschreiben Konzepte die mit Zertifika ten der Registrierung der Zertifizierung und dem Zugriff auf gesicherte Res sourcen im Zusammenhang stehen Registrierung Registrierung bedeutet die Beantragung eines Zertifikats Trust Authority bietet mehrere Registrierungsmethoden die Regeln Ihres Unternehmens legen fest wel che Methoden zur Verf gung stehen Sie k nnen ber Ihren Web Browser auf die Registrierungsformulare zugreifen wenn Sie ein Zertifikail anfordern m ssen Auf der Registrierungs Web Seite k nnen Sie eine Verbindung zu einem Registrierungs formular herstellen dieses ausf llen und anschlie end bergeben Sie k nnen die folgenden Aktionen ausf hren Ein EA Zertifikail anfordern um sich auf Ihre Registrierungs Tasks vorzuberei ten e Ein Browser Zertifikall f r sich selbst anfordern e Ein Zertifikat f r eine n bestimmte
11. Beschreibung enth lt die Seriennummer und den Aussteller Auf Seite 13 werden die ange zeigten Details beschrieben Wahlen Sie tiber die URL der RA sofern das Feld nicht bereits ausgefiillt ist die URL der Registrierungsstelle aus die Ihre urspriingliche Zertifikatsanforde rung genehmigt hat oder geben Sie die entsprechende URL ein Wenn Sie das alte Schliisselpaar nicht verwenden wollen wahlen Sie aus der Liste mit den Alternativen einen neuen Algorithmus und eine neue Schliissel gr e aus Alle aufgelisteten Algorithmen und Gr en sind f r Ihre Maschine geeignet Klicken Sie auf OK oder klicken Sie auf Abbrechen wenn Sie Ihre Meinung ge ndert haben Demn chst ablaufende Zertifikate erneuern Ihr Unternehmen hat festgelegt zu welchem Zeitpunkt Sie eine Warnung erhalten sollen wenn ein Zertifikat demn chst abl uft Der Standardwert betr gt 30 Tage vor Ablauf 20 Trust Authority Benutzerhandbuch Wenn ein Zertifikat in ihrer ge ffneten Bmart Card demn chst abl uft wird es im Dialog 2 ngl angezeigt wenn Sie die Client Anwendung starten Die betreffenden Zertifikate werden in einer Tabelle auf elistet die auch tiber Spalten mit einer Zusammenfassung der Be verf gt Auf Seite kal werden die angezeigten Details beschrieben 1 berpr fen Sie die Zertifikate Gegebenenfalls k nnen Sie die Anzeige anpas sen e Vergr ern Sie das Fenster wenn Sie in der Tabelle mehr Zeilen anzeigen wollen e
12. Browser Zertifikat anfordern 6 Einen Server oder eine Einheit registrieren 7 Eine Person vorab registrieren z 9 Den Registrierungsstatus berpr fen 10 Verwaltung von Zertifikaten unter Verwendung eines Browsers 11 Ein Zertifikat in den Wartestatis seizen 12 Ein Zertifikat erneuern 12 Ein Zertifikat widerrufen 3 18 Aktive Anforderungen abbrechen 14 Mit mehreren Zertifikaten arbeiten 14 Client Anwendung installieren 14 Physische Smart Cards aktivieren 15 Die Client Anwendung aufrufen 16 ber den Client registrieren 17 Registrierung unter Verwendung ei einer r Vorabregi strierungsdatei ae lt 17 Registrierung unter Verwendung einer Transaktions ID 17 Verwaltung von Zertifikaten nter Verwendung dei Client 18 Ein Zertifikat odere eine anstehende Anforderung l schen 18 Ein Zertifikat von einer ine Cardi in eine Datei exportieren 18 Ein Zertifikat aus einer Datei ant eine Smart Card importieren 19 Ein Zertifikat auf eine andere Smart Card ver schieben 19 Ein Zertifikat zum Anzeigen von Details ffnen 19 Ein Zertifikat in den Wartestatus setzen 20 Ein Zertifikat erneuern 20 Demn chst ablaufende Zertifikate erneuern 20 Ein Zertifikat widerrufen 2 Dateien unterzeichnen 21 Mit einer Zertifikatliste arbeiten 22 Zwischen Registerkarten wechseln 22 Mehr Zeilen in einer Tabelle anzeigen ne Die Gr e einer Tabellenspalte ndern 23 Verwaltung von Smart Cards unter
13. Chemical Commission ISO IEC X 509 Version 3 Zertifikat Das X 509v3 Zertifikat verf gt ber erweiterte Datenstrukturen f r die Spei cherung und das Abrufen von Informationen zu Zertifi katsantr gen zur Zertifikatsverteilung und zu Zertifi katswiderrufen sowie zu Sicherheitsregeln und digitalen Unterschriften X 509v3 Prozesse dienen zum Erstellen von CRLs mit Zeitmarken f r alle Zertifikate Bei jeder Verwendung eines Zertifikats erm glichen die X 509v3 Funktionen der Anwendung die G ltigkeit des Zertifikats zu ber pr fen Die Anwendung kann au erdem feststellen ob sich das Zertifikat auf der Zertifikatswiderrufsliste CRL befindet CRLs unter X 509v3 k nnen f r eine bestimmte G ltigkeitsperiode erstellt werden Sie k n nen auch auf anderen Kriterien basieren die zur Aufhe bung der G ltigkeit eines Zertifikats f hren Wenn z B ein Mitarbeiter ein Unternehmen verl t wird sein Zertifikat in der CRL eingetragen X 509 Zertifikat Ein weitverbreiteter Zertifikatsstan dard der entwickelt wurde um die sichere Verwaltung und Verteilung von digital unterzeichneten Zertifikaten ber sichere Internet Netze zu unterst tzen Das X 509 Zertifikat definiert Datenstrukturen die Prozeduren f r die Verteilung ffentlicher Schl ssel unterst tzen die von zuverl ssigen Stellen digital unterzeichnet sind Z Zertifikatsaussteller CA Die Software die zur Ein haltung der Sicherheitsregeln eines Unternehme
14. Zertifikat wieder verwenden wollen bitten Sie den Registra tor es erneut zu aktivieren Wenn das Zertifikat jedoch abl uft w hrend es sich auf der Zertifikatswiderrufslistd CRL befindet k nnen Sie es nicht erneut aktivieren Anmerkung Auf den Registrierungsformularenl werden die zul ssigen Begr n dungen im Feld Begr ndung aufgelistet wenn Sie ein Zertifikat auf der Registrierungs Web Seite widerrufen Bei der Client Anwendung werden sie im Feld Begr ndung f r den Widerruf des Dialogs Zertifikat widerrufen aufgelistet Auf Seite 21l wird dieser Dialog beschrieben Kapitel 5 Referenzinformationen 37 Systemvoraussetzungen f r die Browser Registrierung F r die Verwendung der Browser Registrierungsformulare mit der Registrierungs funktion empfiehlt IBM die folgende Datenstationskonfiguration Konfiguration der physischen Maschine Intel 486 Prozessor mit 166 MHz und 32 MB RAM als Mindestanforderung Vorzugsweise Intel Pentium Prozessor mit 200 MHz und mindestens 64 MB RAM Computer Bildschirm der mindestens VGA Aufl sung unterst tzt Eines der folgenden Betriebssysteme Microsoft Windows 95 Microsoft Windows 98 Microsoft Windows NT Einen der folgenden Web Browser Netscape Navigator oder Netscape Communicator Version 4 05 oder h her Microsoft Internet Explorer Version 5 0 mit aktiviertem Java Wahlfrei Unterst tzung f r eine physische Smart Card Wenn Sie planen Zer
15. Zertifikat zu bearbeiten Client Anwendung installieren Der Proze zur Installation von Trust Authority Client besteht aus zwei Teilen Beim Installieren der Server Software mu ein Systemadministrator Trust Authority Client ausw hlen um das Installationsabbild f r die Anwendung zu installieren Der Administrator mu das Abbild anschlie end verteilen oder es auf dem Netz zur Verf gung stellen damit Sie das Installationsprogramm ber Ihre Datenstation ausf hren k nnen Verwenden Sie die folgende Prozedur um das Installationsprogramm der Client Anwendung TACInst exe auszuf hren 1 Stellen Sie sicher da Ihre Datenstation die im Abschnitt aufgef hrten Anforde 2 Befolgen Sie die Anweisungen Ihres Unternehmens um das Client Installationsabbild zu kopieren herunterladen oder darauf zuzugreifen 3 Fahren Sie alle aktiven Programme herunter 4 W hlen Sie Starten gt Ausf hren aus klicken Sie auf Durchsuchen um die Datei TACInst exe zu suchen und klicken Sie dann auf OK um das Pro gramm auszuf hren 14 Trust Authority Benutzerhandbuch Lesen Sie die Anweisungen im Eingangsfenster und klicken Sie auf Weiter Klicken Sie im Fenster f r die Suche nach der Zieladresse auf Weiter wenn Sie die Software unter dem Standardverzeichnis c Program Files IBM Trust Authority installieren wollen Ansonsten klicken Sie auf Durchsuchen um einen anderen Zielordner auszuw hlen oder einzugeben Klicken S
16. auf die Textanzeige beschr nkt sind Die mei sten Browser unterst tzen die Hauptformen der Internet Kommunikation z B die Ausf hrung von FTP Transaktionen Web Server Ein Server Programm das auf Anforde rungen von Browser Programmen nach Informations ressourcen antwortet Siehe auch Server WebSphere Application Server Ein IBM Produkt das Benutzer bei der Entwicklung und Verwaltung von Websites mit einem hohen Leistungsumfang unter st tzt Es erleichtert den bergang vom einfachen Web Publishing zu komplexen e business Anwendungen im Web Der WebSphere Application Server besteht aus einer Java Servlet Maschine die unabh ngig vom Web Server und dem verwendeten Betriebssystem arbeitet World Wide Web WWW Der Teil des Internets in dem ein Netz von Verbindungen zwischen Computern aufgebaut wird auf denen Hypermediamaterial gespei chert ist Dieses Material stellt neben Informationen auch Verbindungen Hyperlinks zu anderem Material im World Wide Web und Internet zur Verf gung Der Zugriff auf WWW Ressourcen erfolgt ber einen Web Browser X X 500 Ein Standard f r die Implementierung eines multifunktionalen verteilten und vervielf ltigten Verzeichnisservices durch die Verbindung von Computersystemen Dieser Standard wurde gemeinsam definiert von der bisher als CCITT bekannten Interna tional Telecommunications Union ITU sowie der International Organization for Standardization und der International Electro
17. dar ber wie Zertifikate im gesamten Zertifikatsverarbeitungszyklus mit Hilfe von RA Desktop verwaltet wer den W hrend Sie die Online Hilfefunktion f r den Desktop anzeigen k nnen Sie auf die HTML Version dieses Handbuchs zugreifen Benutzerhandbuchl Dieses Buch enthalt Informationen dartiber wie Zertifikate abgerufen und verwaltet werden Es beschreibt die Prozeduren zur Verwendung der Browser Registrierungsformulare von Trust Authority um Zertifikate anzu fordern zu erneuern und zu widerrufen Au erdem beschreibt das Buch wie eine Vorabregistrierung f r PKIX kompatible Zertifikate durchgef hrt wird und wie diese Zertifikate mit Hilfe des Trust Authority Client verwal tet werden W hrend Sie die Online Hilfefunktion f r den Client anzeigen k nnen Sie auf die HTML Version dieses Handbuchs zugreifen 53 Anpa Ing Dieses Buch zeigt wie die Trust Authority Registrierungsfunktion angepa t wird um die Vorgaben zur Registrierung und Zertifizierung im Rahmen Ihrer Unternehmensregeln zu unterst tzen Sie erfahren beispielsweise wie HTML und Java Server Seiten Mitteilungsschreiben Zertifikatsprofile und Regel Exits angepa t werden Die rust Autharityl Website enth lt weitere Dokumente die Ihnen bei der Installa tion Verwaltung un Nutzung von Trust Authority helfen k nnen Dort finden Sie beispielsweise zus tzliche Richtlinien zum Directory Schema und erfahren wie Trust Authority in den IBM SecureWay 4758 PCI Cryptogr
18. die URL bei Adresse in das Textfenster ein 4 Dr cken Sie die Eingabetaste Die Registrierungs Web Seite von Trust Authority wird angezeigt Bei einer Standardinstallation lautet der Name der Seite Identit tsnachweis Verwal tung 5 Wenn Sie die Trust Authority Registrierungsservices das erste Mal verwenden klicken Sie auf das Ze en Serve Mit diesem Zertifikat kann Ihr Browser Daten authentifizieren die von den Registrierungsservices gesendet werden Wenn Sie diese Services das n chste Mal verwenden k nnen Sie diesen Schritt bergehen Registrierung ber einen Browser In diesem Abschnitt wird beschrieben wie sie Ihren Web Browser verwenden um ein Zertifikat auf der Trust Authority Registrierungsseitel el anzufordern Wenn Sie die Registrierungsservices das erste Mal verwenden m ssen Sie ein f r Ihren Web Browser abrufen bevor Sie fortfahren k nnen Anschlie end k nnen Sie die Seiten zur Registrierung wiederholt verwenden Abh ngig davon wie die Registrierungsfunktion f r Ihr Unternehmen angepa t wurde k nnen die Prozeduren die zum Abrufen eines g ltigen Zertifikats ausge f hrt werden m ssen unterschiedlich sein Im folgenden werden die grundlegen den Schritte erkl rt Wenden Sie sich an den zust ndigen Systemadministrator um Informationen ber die f r Ihren Standort g ltigen Prozeduren zu erhalten 6 Ein Browser Zertifikat anfordern Um ein Browser Zertifikat ber Ihren Web Browser
19. frierschl ssel und Benutzerzertifikate f r die Authenti fizierung durch eine berechtigte Einzelperson oder ein berechtigtes Unternehmen verf gbar gemacht werden Er stellt Online Verzeichnisse bereit die die ffentlichen Chiffrierschl ssel und Zertifikate enthalten die zur berpr fung der digitalen Zertifikate Identit tsnach weise sowie der digitalen Unterschriften verwendet werden PKI stellt au erdem Funktionen zur schnellen und effizienten Antwort auf Pr fabfragen und Anforderun gen f r ffentliche Chiffrierschl ssel bereit Der Stan dard dient dar ber hinaus zur Identifizierung potentiel ler Sicherheitsl cken im System und zur Verwaltung von Ressourcen zur Bearbeitung von Sicherheits verletzungen PKI bietet au erdem einen digitalen Zeit markenservice f r wichtige Unternehmenstransaktio nen R RA Registration Authority Registrierungsstelle RA Desktop Ein Java Applet das den RAs eine Gra fikschnittstelle f r die Verarbeitung von Anforderungen f r Identit tsnachweise und zur Verwaltung dieser Nachweise w hrend ihrer G ltigkeitsdauer zur Verf gung stellt RA Server Der Server f r die RA Komponente von Trust Authority RC2 Eine variable Schl sselgr en Block Cipher die von Ron Rivest f r RSA Data Security entwickelt wurde RC steht f r Ron s Code oder Rivest s Cipher Sie arbeitet schneller als DES und l st diese Block Cipher ab Durch die Verwendung geeigneter Schl sselgr
20. im Feld Zweck der jeweiligen oj aufgelistet k6n Anmerkung Die angezeigte Liste entspricht unter Umst nden nicht der Liste in diesem Handbuch Es kann sein da Ihr Unternehmen die Namen oder sogar die verf gbaren Zertifikatstypen ge ndert hat Begr ndung f r den Widerruf von Zertifikaten Wenn Sie ein Zertifikat widerrufen m ssen Sie daf r eine Begr ndung ausw hlen Die folgenden Begr ndungen sind zul ssig und k nnen ausgew hlt werden Der CA Schl ssel war besch digt Der Schl ssel des Zertifikatsausstellers CA der das Zertifikat ausgestellt hat wurde besch digt Das Zertifikat wurde ersetzt Sie haben ein neues Zertifikat und ben tigen das vorliegende nicht mehr Keine Begr ndung Sie geben keine Begr ndung an Der urspr ngliche Verwendungszweck des Zertifikats ist nicht mehr g ltig Sie ben tigen das Zertifikat nicht mehr f r dessen urspr nglichen Verwendungszweck Beispiel Sie m ssen nicht mehr auf die Ressource oder die Anwendung zugreifen f r die das Zertifikat ausgestellt wurde Benutzer hat Zugeh rigkeit ge ndert Sie arbeiten nicht mehr mit dem Unternehmen zusammen f r das das Zertifikat gilt Der Benutzerschl ssel war besch digt Ihr privater Schl ssel wurde besch digt Anmerkung Die folgenden Begr ndungen f hren zu nderungen der Widerrufs aktion Zertifikat in den Wartestatus setzen Hiermit inaktivieren Sie ein Zertifikat anstatt es permanent zu widerrufen Wenn Sie das
21. in dem PEM Protokollen verwendet Modulus In dem auf ffentlichen Schl sseln basieren den RSA Verschl sselungssystem das Produkt n aus zwei hohen Primzahlen p und q Die optimale Gr e f r einen RSA Modulus h ngt von den individuellen Sicherheitsanforderungen ab Je gr er der Modulus desto h her die Sicherheit Die momentan von den RSA Laboratories empfohlenen Schl sselgr en h ngen vom geplanten Einsatz des Schl ssels ab Hierbei werden 768 Bit f r Schl ssel zum pers nlichen Gebrauch 1024 Bit f r den Unternehmensbereich und 2048 Bit f r extrem wertvolle Schl ssel wie z B CA Schl sselpaare angegeben Ein 768 Bit Schl ssel wird voraussichtlich bis mindestens zum Jahr 2004 sicher sein Multipurpose Internet Mail Extensions MIME Eine frei verf gbare Gruppe von Spezifikationen die den Austausch von Text in Sprachen mit unterschiedlichen Zeichens tzen erm glicht Diese Spezifikationen unter st tzen auch den Austausch von Multimedia E Mail zwischen unterschiedlichen Computersystemen die Internet Mail Standards verwenden So k nnen E Mail Nachrichten beispielsweise andere Zeichens tze als den US ASCII Satz sowie erweiterten Text Bilder oder Ton daten enthalten N Nachrichtenauszug Eine irreversible Funktion bei der auf der Basis einer Nachricht beliebiger L nge eine Datenmenge mit fester L nge generiert wird Bei MD5 handelt es sich z B um einen Nachrichtenauszugs algorithmus Nachrichten
22. innerhalb eines bestimmten Preisbereichs erm g licht Zertifikatswiderrufsliste CRL Eine digital unter zeichnete mit Zeitmarken versehene Liste der Zertifi kate die vom Zertifikatsaussteller CA widerrufen wurden Die Zertifikate in dieser Liste sollten als nicht akzeptierbar behandelt werden Siehe auch Digitales Zertifikat Zertifizierung Der Proze bei dem eine zuverl ssige an der Kommunikation nicht beteiligte Stelle der Zerti fikatsaussteller CA einen elektronischen Identit ts nachweis ausstellt der f r die Identit t einer Person eines Unternehmens oder einer Organisation b rgt Ziel Eine benannte oder ausgew hlte Datenquelle Zugriffssteuerungsliste ACL Ein Verfahren mit dem die Verwendung einer bestimmten Ressource auf berechtigte Benutzer beschr nkt werden kann Glossar 67 68 Trust Authority Benutzerhandbuch Index A Abschnitte Registrierungsformular 9 Algorithmen f r Unterschriften 46 Anforderung Registrierung 3 auswerten 26 automatisierte Auswertung 26 Bearbeitung durch RA 3 Registrierungsdatenbanksatz 28 Registrierungsdom ne 27 Registrierungsformular 25 ber Client Anwendung 17 ber die Registrierungs Web Seite 5 Verarbeitungszyklus 28 Vorabregistrierung 25 Web Browser Unterst tzung 26 Anforderung in Client Anwendung l schen 18 Anforderungs ID 6 7 9 Anstehende Anforderung Client Anwendung 18 Attribute Datenbanksatz 28 Authentifizierung 31 Begr nd
23. ist Zusammen mit der Schl sselgr e defi niert dieser Algorithmus die Stufe des Schl ssels Schl sselgr e Wenn Sie das Schl sselpaar des ablaufenden Zertifikats verwenden wollen ignorieren Sie dieses Feld Um ein neues Schl sselpaar zu generieren w hlen Sie einen Wert aus Die Werte auf der Liste sind f r Ihre Maschine geeignet Dies ist die Gr e des privaten Schl ssels der diesem Zertifikat zugeordnet ist Gr ere Schl ssel sind sicherer verl ngern jedoch auch die Zeit die erforderlich ist um eine Verbindung zu einer sicheren Sitzung herzustellen Dialog Zertifikat widerrufen In diesem Dialog k nnen Sie zusammenfassende Informationen zu einem Zertifikad anzeigen um zu berpr fen ob Sie dieses Zertifikat tats chlich widerrufen wollen Um das Zertifikat zu widerrufen geben Sie folgende Informationen ein URL der RA Wenn das Feld noch keinen Wert enth lt w hlen Sie entweder die URL der RA aus die die urspr ngliche Zertifikatsanforderung genehmigt hat oder geben Sie die URL in das Textfenster ein Wenn Sie die URL nicht kennen setzen Sie sich mit dem Administrator der Registrierungsdom ne in Verbindung Begr ndung f r den Widerruf W hlen Sie einen der folgenden Eintr ge aus um den Erundl f r den Widerruf des Zertifikats anzugeben Der Benutzerschl ssel war besch digt Der CA Schl ssel war besch digt Benutzer hat die Zugeh rigkeit ge ndert Kapitel 5 Referenzinformatio
24. ist dies berhaupt nicht m glich Bevor Sie ein Zertifikat oder eine Anforderung die Sie w hrend der Verwaltung Ihrer Zertifi kate ausgegeben haben l schen nehmen Sie sich die Zeit die ent sprechende Beschreibung noch einmal zu berpr fen Best tigen Sie anschlie end da Sie das Zertifikat bzw die Anforderung die sich auf das Zertifikat bezieht tats chlich l schen wollen F hren Sie im Fenster die folgenden Aktionen aus 1 W hlen Sie das Zertifikat oder die anstehende Anforderung aus das bzw die Sie l schen wollen ffnen Sie das Men Zertifikat und klicken Sie nacheinander auf L schen gt Zertifikat l schen Der Dialog wird angezeigt Auf Seite Bil wird dieser Dialog beschrieben berpr fen Sie im Dialog die Beschreibung des Zertifikats oder der anstehen den Anforderung Auf Seite Ld werden die angezeigten Details beschrieben Klicken Sie auf OK um den L schvorgang zu best tigen oder klicken Sie auf Abbrechen wenn Sie Ihre Meinung ge ndert haben Ein Zertifikat von einer Smart Card in eine Datei exportieren F hren Sie im Fenster die folgenden Aktionen aus 1 W hlen Sie das Zertifikat aus das Sie von der ge ffneten Smart Card exportie ren wollen ffnen Sie das Men Zertifikat und klicken Sie auf Exportieren Der Dialog Zertifikat exportieren wird angezeigt Auf Seite 42 wird dieser Dialog beschrieben W hlen Sie die Verschl sselungsart aus die zur Verschl sselung
25. nur wenn Sie dazu entsprechende Anweisungen erhalten haben Klicken Sie auf Registrierungsanforderung bergeben Nachdem Trust Authority das Registrierungsformular erhalten hat geschieht folgendes e Wenn das Formular Fehler enth lt werden diese Fehler angezeigt Nehmen Sie die entsprechenden nderungen vor und klicken Sie auf Registrierungs anforderung erneut bergeben Wenn das Formular keine Fehler enth lt wird ihre Anforderungs ID auf einer anderen Web Seite angezeigt Sie sollten Ihre Anforderungs ID auf jeden Fall notieren Sie dient sp ter zu Ihrer Identifizierung damit Sie den Status der Anforderung k nnen und Ihr Zertifikat nach dessen Fertigstellung erhalten F hren Sie einen der folgenden Schritte aus wie auf der Web Seite beschrieben e Markieren Sie die Web Seite mit einem Lesezeichen damit Sie ohne Schwie rigkeiten zu dieser Anzeige zur ckkehren und den Status Ihres Zertifikats berpr fen k nnen e Notieren Sie die Anforderungs ID damit Sie diese angeben k nnen wenn Sie zur ckkehren e Warten Sie bis Ihnen die Anforderungs ID per E Mail zugesandt wird Einen Server oder eine Einheit registrieren Alle Server und Einheiten die Sie registrieren m ssen ber verf gen die den Definitionen dieses Handbuchs entsprechen Im Abschnitt Q werden diese Merkmale beschrieben Um ein Server oder Einheitenzertifikat ber Ihren Web Browser abzurufen gehen Sie folgenderma en vor 1 2
26. zum Anzeigen der Schl sselgr e verwenden Bei der Verwendung von Netscape mit einer nicht englischen Version des Browser Registrierungsformulars wird unleserlicher Text im Feld f r die Schl sselgr e in K stchen angezeigt Dieser Text wird intern vom Browser generiert und weist kein UTF 8 Format auf Der Netscape Browser generiert diese Textzeichenfolge ausschlie lich in den Basiszeichens tzen wie beispielsweise ISO 8859 1 f r Englisch und westeurop ische Landes sprachen Big5 f r traditionelles Chinesisch und BG2312 f r vereinfachtes Chinesisch Da die JSP Registrierungsseiten in UTF 8 codiert sind erkennt der Browser die Zeichenfolge im Basiszeichensatz nicht Daher kann diese Zeichenfolge im Browser nicht mit dem UTF 8 Zeichensatz angezeigt werden Die Auswahlm glichkeiten f r die Schl sselgr e in einer US Version des Netscape Browsers lauten wie folgt 1024 High Grade 768 Medium Grade e 512 Low Grade Aufgrund von Exporteinschr nkungen durch die US Regierung enth lt die Liste f r eine nicht englische Version des Browsers wahrscheinlich nur einen Eintrag mit einer 512 Bit Schl sselgr e Low Grade Auf Client Anwendungsnachrichtendateien zugreifen Nach der Installation der Trust Authority Client Anwendung mu die Umgebungsvariable NLSPATH wie folgt aktualisiert werden Von C Progra 1 IBM TrustA 1 msg L N In C Progra 1 IBM TrustA 1 TACLIENT msg L N Diese nderung erm
27. AClient ini Der Standardpfad f r diese Datei lautet c Program Files IBM Trust Authority TAClient 3 ndern Sie den Abschnitt KeyStore folgenderma en ndern KeyStore CurKeyStore VSC in KeyStore CurKeyStore SmartCard 4 Andern Sie den Abschnitt SmartCard folgenderma en ndern SmartCard Model PKCS11_STORAGE_MODEL Guid EA8A7C01 13BC 11d3 B150 002035C00173 LibraryName in SmartCard Model PKCS11_STORAGE_MODEL Guid EA8A7C01 13BC 11d3 B150 002035C00173 LibraryName c winnt system32 W32pk2ig d11 Anmerkung LibraryName steht in diesem Beispiel fiir den Standardpfad von W32pk2ig dll f r ein Windows NT System das auf dem Lauf werk C installiert ist Die Position dieser Datei kann auf Ihrem System unterschiedlich sein 5 Geben Sie die folgenden Befehle ein um das Programm initsc auszuf hren Sie werden nicht zur Eingabe von Kennw rtern aufgefordert die Kennw rter bleiben dieselben die Sie beim Installieren der physischen Smart Card festge legt haben cd c Program Files IBM Trust Authority bin initsc e ee i c Program Files IBM Trust Authority TAClient TAClient ini Wenn Sie die Smart Card mit der Client Anwendung verwenden denken Sie daran da die Karte ein 512 Bit Schl sselpaar ein 1024 Bit Schl sselpaar und die entsprechenden Zertifikate enthalten kann Wenn Sie versuchen ein zweites 512 Bit Schl sselpaar oder ein zweites 1024 Bit Schl sselpaar zu generieren erhalten Sie e
28. Aufzeichnung aller Ereignisse die w hrend der gesamten G ltigkeitsdauer eines Identit tsnachweises aufgetreten sind American National Standard Code for Information Interchange ASCII Der Standardcode der f r den Austausch von Informationen zwischen Datenverarbeitungssystemen DFV Systemen und zuge h riger Hardware verwendet wird ASCII verwendet einen codierten Zeichensatz der aus Zeichen von 7 Bit L nge bzw 8 Bit bei Parit tspr fung besteht Der Zeichensatz besteht hierbei aus Steuerzeichen und Schriftzeichen American National Standards Institute ANSI Eine Organisation die die Verfahrensweisen definiert mit deren Hilfe akkreditierte Organisationen freiwillig eingehaltene Industriestandards in den Vereinigten Staaten festlegen und verwalten Ihr geh ren Hersteller Verbraucher und allgemeine Interessenvertretungen an Anforderungs ID Ein aus 24 bis 32 Zeichen bestehen der ASCII Wert der zur eindeutigen Identifikation einer Zertifikatsanforderung gegen ber der RA dient Dieser Wert kann bei der Transaktion f r die Zertifi katsanforderung verwendet werden um den Status der Anforderung oder des zugeh rigen Zertifikats abzuru fen ANSI American National Standards Institute Applet Ein in der Programmiersprache Java geschrie benes Computerprogramm das innerhalb eines Java kompatiblen Web Browsers ausgef hrt werden kann Dieses wird auch als Java Applet bezeichnet Art Siehe Objektart ASCII Amer
29. Authority Client im Men Start unter Programme gt IBM SecureWay Trust Authority Hinweise zur Verwendung Wenn Sie eine Fehlernachricht erhalten in der Ihnen mitgeteilt wird da CSSM32 dll im angegebenen Pfad nicht gefunden werden kann f hren Sie das Installationsprogramm f r die Client Anwendung erneut aus Auf diese Weise wird der Fehler normalerweise behoben Wenn Sun Java Runtime Environment JRE oder Java Development Kit JDK bereits auf der Maschine installiert wurde auf der Sie den Client installieren m chten und Sie eine Fehlernachricht erhalten in der Ihnen mitgeteilt wird da JRE nicht gefunden werden kann m ssen Sie die Variable PATH f r diese Maschine aktualisieren um sicherzustellen da sie den Installationspfad des Programms jre exe enth lt Physische Smart Cards aktivieren Nach der Installation der Trust Authority Client Anwendung m ssen Sie folgende Schritte ausf hren um Zertifikate die sich auf einer physischen Smart Card befin den aufrufen und dort speichern zu k nnen 1 Befolgen Sie die mit Ihrer Smart Card gelieferte Prozedur um die Karte und die Software zu installieren Sie k nnen beispielsweise eines der folgenden Produkte installieren e IBM Smart Card Security Kit for Desktop Systems f r die Serienversion e IBM Smart Card Security Kit for Notebook Computers f r die PCMCIA Version Kapitel 3 Informationen zur Vorgehensweise 15 2 Bearbeiten Sie die Datei T
30. DNs Distinguished Names registrierte Namen anzufordern wie bei spielsweise Zertifikate in denen f r den allgemeinen Namen Zeichen in der f r die jeweilige Landessprache spezifischen Schreibweise verwendet Kapitel 5 Referenzinformationen 47 48 werden Die DNs der von Trust Authority erstellten Zertifikate werden in druckbaren Zeichen Teletex T 61 oder UTF 8 Zeichen codiert Normaler weise werden DNs die Zeichen in der f r europ ische Landessprachen spezifischen Schreibweise enthalten in Teletex codiert und DNs die Zei chen in der f r Chinesisch Japanisch oder Koreanisch spezifischen Schreib weise enthalten in UTF 8 Je nach Browser Typ und dessen jeweiliger Lokalisierung f r Ihre Umgebung werden diese Zertifikate m glicherweise nicht korrekt angezeigt Netscape f r Zertifikate mit Nicht ASCII DNs verwenden Netscape Browser k nnen Zertifikate die mit UTF 8 codiert sind nicht verarbeiten Trust Authority codiert DNs die Doppelbytezeichen enthalten in Chinesisch Japanisch oder Koreanisch mit UTF 8 Da die derzeit ver f gbaren Versionen von Netscape die mit UTF 8 codierten Zertifikate nicht verarbeiten k nnen kann Netscape nicht zum Anforderung oder Impor tieren von Zertifikaten verwendet werden deren DNs Zeichen in chinesi scher japanischer oder koreanischer Landesspreche enthalten Verwenden Sie statt dessen Microsoft Internet Explorer zum Anfordern von Zertifika ten in diesen Landessprachen Netscape
31. Data Security Architecture erm g licht die Interoperabilit t zwischen Produkten verschiedener Hersteller Mit Hilfe von Higitalen Unterschriften und sicheren Protokollen ist es m glich alle Parteien einer Transaktion zu authentifizieren Registrierungsfunktionen auf Browser und Client Basis bieten maximale Flexibi lit t Die verschl sselte Datenfernverarbeitung und die sichere Speicherung von Regi strierungsinformationen sorgen f r ein hohes Ma an Vertraulichkeit Ein Trust Authority System kann auf IBM AIX 6000 und Microsoft Windows NT Server Plattformen ausgef hrt werden Es bietet die folgenden Haupt funktionen Ein zuverl ssiger Pertifikatsaussteller CA verwaltet den gesamten Verarbeitungszyklus der digitalen Zertifizierung Um f r die Authentizit t eines Zertifikats zu garantieren versieht der CA jedes ausgestellte Zertifikat mit einer digitalen Unterschrift Er unterzeichnet auch Zertifikatswiderrufslistenl CRLs um zu gew hrleisten da bestimmte Zertifikate nicht mehr g ltig sind Zur weiteren Sicherung seines Unterschriftsschl ssels k nnen sie kryptografische Hardware wie beispielsweise den IBM SecureWay 4758 PCI Cryptographic Coprocessor verwenden Eine Registrierungsstellel RA f hrt die administrativen Tasks im Hintergrund der Benutzerregistrierung aus Die RA stellt sicher da nur solche Zertifikate ausgestellt werden die Ihre Gesch ftst tigkeit unterst tzen und da diese Zerti fikate
32. Dateien auf einer Festplatte DES arbei tet mit einer Blockgr e von 64 Bit und verwendet f r die Verschl sselung einen 56 Bit Schl ssel Urspr ng lich wurde dieser Standard f r die Hardwareimplemen tierung entwickelt DES wird von NIST alle f nf Jahre erneut als offizieller Verschl sselungsstandard der US Regierung zertifiziert Datenspeicherbibliothek DL Ein Modul das den Zugriff auf permanente Datenspeicher mit Zertifikaten CRLs Schl sseln Regeln und anderen sicherheits relevanten Objekten erm glicht DEK Document Encryption Key Dokumentver schl sselungsschl ssel DER Distinguished Encoding Rules DES Data Encryption Standard Diffie Hellman Ein Verfahren zur Datenverschl sse lung das auf der Verwendung eines gemeinsamen Schl ssels auf einem nicht gesicherten Medium basiert und nach seinen Erfindern Whitfield Diffie und Martin Hellman benannt wurde Digital Signature Algorithm DSA Ein auf ffentli chen Schl sseln basierender Algorithmus der zum Standard f r digitale Unterschriften Digital Signature Standard DSS geh rt Er kann nur f r digitale Unter schriften jedoch nicht f r die Verschl sselung verwen det werden Digitale Unterschrift Eine codierte Nachricht die an Dokumente oder Daten angef gt wird und die Identi t t des Absenders nachweist Eine digitale Unterschrift gew hrleistet ein h heres Ma an Sicherheit als eine physische Unterschrift da es sich hierbei
33. Daten kann nur dann geheimgehalten werden wenn der Schl ssel nur den jeweils berechtigten Perso nen bekannt ist Gegensatz zu Asymmetrische Verschl s selung Symmetrischer Schl ssel Ein Schl ssel der sowohl f r die Verschl sselung als auch f r die Entschl sse lung verwendet werden kann Siehe auch Symmetrische Verschl sselung 7 TCP IP Transmission Control Protocol Internet Proto col TP Trust Policy Sicherungsregel Transaktions ID Eine Kennung die die RA als Ant wort auf eine Anforderung ftir eine Vorabregistrierung zur Verf gung stellt Mit dieser ID kann ein Benutzer der die Client Anwendung von Trust Authority aus f hrt ein vorab genehmigtes Zertifikat erhalten Transmission Control Protocol Internet Protocol TCP IP Eine Gruppe von bertragungsprotokollen die Peer zu Peer Konnektivit tsfunktionen f r lokale Netze LANs und Weitverkehrsnetze WANs unter st tzen Triple DES Ein symmetrischer Algorithmus bei dem der unverschl sselte Text dreimal verschl sselt wird Obwohl f r diese Mehrfachverschl sselung zahlreiche Methoden existieren stellt die Triple DES Verschl sselung die auf drei verschiedenen Schl sseln basiert das sicherste dieser Verfahren dar Trust Authority Eine integrierte IBM SecureWay Sicherheitsl sung die die Ausstellung Erneuerung und den Widerruf digitaler Zertifikate unterst tzt Diese Zertifikate k nnen f r eine breite Palette von Internet Anwendun
34. Digital Signature Algorithm E e Business Das Durchf hren gesch ftlicher Transak tionen ber Netze und Computer z B der Kauf und Verkauf von Waren und Dienstleistungen sowie der Transfer von Zahlungsmitteln mit Hilfe der digitalen Kommunikation e Commerce Unternehmens bergreifende Transaktio nen wie beispielsweise der Kauf und Verkauf von Waren und Dienstleistungen zwischen Unternehmen und ihren Kunden Lieferanten Subunternehmen und anderen ber das Internet E Commerce stellt einen Kernbestandteil des e Business dar Endentit t Der Gegenstand eines Zertifikats bei dem es sich nicht um einen CA handelt 58 Trust Authority Benutzerhandbuch Entschl sseln Den Verschl sselungsproze r ckg n gig machen Exemplar Bei DB2 bezeichnet man als Exemplar eine logische Datenbankverwaltungsumgebung zum Spei chern von Daten und Ausf hren von Anwendungen Es erm glicht die Definition einer allgemeinen Gruppe von Konfigurationsparametern f r verschiedene Daten banken Extranet Ein Netz das auf dem Internet basiert und eine hnliche Technologie einsetzt Unternehmen begin nen momentan mit dem Einsatz des Web Publishings elektronischen Handels und der Nachrichten bertra gung sowie der Verwendung von Groupware f r ver schiedene Gruppen von Kunden Partnern und internen Mitarbeitern F File Transfer Protocol FTP Ein Client Server Protokoll im Internet das zum bertragen von Dateien zwischen Comp
35. Men Zertifikat Neu Fordern Sie ein neues Zertifikat an indem Sie die Daten der Vorab registrierung verwenden Eine Zeigen Sie Informationen ber das ausgew hlte Zertifikat an Importieren Sie das ausgew hlte Zertifikat auf die Smart Card Exportieren Exportieren Sie das ausgew hlte Zertifikat von einer Smart Card L schen L schen Sie das ausgew hlte Zertifikat von einer Smart Card Erneuern Erneuern Sie das ausgew hlte Zertifikat Widerrufen Widerrufen Sie das ausgew hlte Zertifikat Unterzeichnen Verwenden Sie das ausgew hlte Zertifikat um eine Datei digital zu unterzeichnen Hilfe Zu diesem Fenster Stellt eine Verbindung zum Hilfetext f r das aktuelle Fenster her Hilfethemen Zeigt das Benutzerhandbuch von Trust Authority an Produktinformationen Zeigt Informationen zur Client Anwendung an Kapitel 5 Referenzinformationen 39 Registerkarten im Fenster Smart Card Unter der Men leiste verf gt das Fenster ber zwei Registerkarten Registerkarte Meine Zertifikate Zeigt eine Tabellel an in der alle aktuellen Zertifikatd die sich auf der ge ffneten Smart Card befinden sowie alle anstehenden Anforderungen wie beispielsweise Anforderungen neuer Zertifikate und Widerrufsan forderungen aufgelistet sind Registerkarte Andere Zertifikate Zeigt eine Tabelle an in der Zertifikate aufgelistet sind die sich auf dersel ben ge ffneten Emart Card befinden jedoch nich
36. Server 1 In einem Netz eine Datenstation die ande ren Stationen Funktionen zur Verf gung stellt wie beispielsweise ein Datei Server 2 In TCP IP ein System in einem Netz das die Anforderungen eines Systems an einem anderen Standort verarbeitet Dieses Konzept wird als Client Server Modell bezeichnet Server Zertifikat Ein digitales Zertifikat das von einem CA ausgegeben wird und es einem Web Server erm glicht SSL gest tzte Transaktionen auszuf hren Wenn ein Browser ber das SSL Protokoll eine Verbin dung zum Server herstellt sendet der Server seinen ffentlichen Schl ssel an den Browser Hierdurch kann die Identit t des Servers authentifiziert werden und es k nnen verschl sselte Daten an den Server gesendet werden Siehe auch CA Zertifikat Digitales Zertifikat und Browser Zertifikat 64 Trust Authority Benutzerhandbuch Servlet Ein Server Programm das zus tzliche Funk tionen f r Server zur Verf gung stellt die Java unter st tzen SET Secure Electronic Transaction SGML Standard Generalized Markup Language SHA 1 Secure Hash Algorithm Ein von NIST und NSA entwickelter Algorithmus der beim DSS Digital Signature Standard verwendet wird Der Standard wird als Secure Hash Standard bezeichnet SHA ist der Algorithmus der von diesem Standard verwendet wird Er generiert einen 160 Bit Hash Code Sicherheitsdom ne Eine Gruppe z B Unternehmen Arbeitsgruppe Projektteam deren Zertifikate vom g
37. Sie da das Produkt seit Erstellung der Ver ffentlichungen m gli cherweise ge ndert worden ist Aktuelle Produktinformationen sowie Informatio nen f r den Zugriff auf Ver ffentlichungen in der Sprache und im Format Ihrer Wahl finden Sie in der Informationsdatei Readme Die neueste Version der Readme Datei steht auf der folgenden Web Site von zur Verf gung http www tivoli com support Zur Trust Authority Bibliothek geh rt die folgende Dokumentation Dieses Buch bietet eine bersicht ber das Produkt Es enth lt die Produktvoraussetzungen beschreibt die Installationsverfahren und stellt Informationen dar ber zur Verf gung wie Sie auf die Online Hilfefunktion f r die jeweiligen Produktkomponenten zugreifen k nnen Dieses Buch liegt in gedruckter Form vor und wird mit dem Produkt geliefert Dieses Buch bietet allgemeine Informationen zur Verwaltung des Trust Authority Systems Es beschreibt die Prozeduren zum Starten und Stoppen der Server zum ndern von Kennw rtern zur Verwaltung der Server Komponenten sowie zum Erstellen von Protokollen und zur Ausf hrung von Datenintegrit ts berpr fungen Dieses Buch enth lt Informationen dar ber wie ein Trust Authority System mit Hilfe des Konfigurationsassistenten Setup Wizard konfiguriert wird W hrend Sie die Online Hilfefunktion f r den Assistenten anzeigen k n nen Sie auf die HTML Version dieses Handbuchs zugreifen RA Desktop Dieses Buch enth lt Informationen
38. Spaltengr e ndern 23 Tabellen Fenster Smart Card 40 TACInst exe Datei 14 TAClient ini Datei 15 Transaktions ID 17 Trust Authority Zusammenfassung 1 Typ des Zertifikats 36 U bersicht 3 Unternehmensregeln 26 Unterschriftsalgorithmen 46 Unterzeichnen von Dateien 31 URL Registrierungs Web Seite 5 Registrierungsdom ne 20 27 Registrierungsstelle 21 V Verlassen der Client Anwendung 24 Verwendungszweck des Zertifikats 36 Vorabregistrierung 25 Anforderungsstatus berpr fen 10 mit Transaktions ID 17 mit Vorabregistrierungsdatei 17 Szenario f r Tasks 25 Vorabregistrierungsdatei W Wartestatus Zertifikat ber Client Anwendung 20 10 17 Wartestatus Zertifikat Forts ber die Registrierungs Web Seite 12 Web Browser Unterst tzung 25 26 Web Seite Registrierung 3 5 Anforderungs ID 6 7 9 Anforderungsstatus berpr fen 10 CA Zertifikat 29 Felder des Registrierungsformu lars 33 Registrierungsarten 25 Szenario f r die Vorabregistrie rung 25 URL 5 Zugriff 5 Widerruf Begr ndung 37 ber Client Anwendung 21 ber die Registrierungs Web Seite 13 X X 509v3 Zertifikatserweiterungen 30 Z Zertifikat 29 Anforderung ber die Registrierungs Web Seite 5 aus einer Datei importieren 19 Datenbanks tze 27 demn chst ablaufend 20 41 Details 19 erneuerbar 30 in eine Datei exportieren 18 Kategorien 29 l schen 18 nicht erneuerbar 30 Typen 36 ber Client Anwendung anfor dern 17 ber Cl
39. Verwendung d s Client 23 Eine andere Smart Card ffnen 23 Ein Smart Card Kennwort ndern 23 Smart Card Eigenschaften anzeigen 24 Client Anwendung verlassen 24 Client Anwendung deinstallieren 24 Kapitel 4 Erl uterungen 25 Registrierung 25 Vorabregistrierung 20 Web Browset Unterstiitzung 26 Registrierung 26 Unternehmensregeln 26 Registrierungsstellen RAs edt Registrierungsdatenbanken 27 Registrierungsdom nen 27 Registrierungss tze 28 er 28 Zertifizierung 28 Zertiik tsadiast ller 28 Zertifikatswiderrufslisten CRL 28 Verzeichnisse 28 Registrierter Name 29 Zertifikate 29 Browser Zertifikate 29 CA Zertifikate 29 Server und Einheitenzertifikais 230 Zertifikatserweiterungen 30 Zertifikatsverarbeitungszyklus 30 Erneuerbarkeit 30 Zugriff auf gesicherte Ressdureen f s l Zugriffssteuerung 3l Authentifizierung und Genehmigung 31 Digitale Unterschriften oL Smart Cards 31 Kapitel 5 Referenzinformationen 33 Registrierungsformular auf der Web Seite lt 33 Verf gbare Zertifikatstypen 36 Begr ndung f r den Widerruf von Zertifikaten eA Systemvoraussetzungen f r die Browser Registrierung 38 Systemvoraussetzungen f r die Client Anwendung 38 Client Anwendung Hauptfenster 39 Men s im Fenster Smart Card 39 Registerkarten im Fenster Smart Card 40 Tabellen im Fenster Smart Card 40 Dial
40. abzurufen gehen Sie folgen derma en vor 1 2 Nehmen Sie ber Ihren Browser Zugrifil auf die Registrierungs Web Seite ffnen Sie ber Registrierungsart die Liste und w hlen Sie Browser Zertifikall aus Wahlen Sie ber Aktion die Option Registrieren aus Klicken Sie auf OK Das angeforderte Registrierungsformular wird angezeigt Befolgen Sie die Anweisungen auf der Web Seite um die Ban des Formulars auszuf llen Im Abschnitt werden die Felder beschrieben Das Fondas rn die folgenden Abschnitte e Einen Abschnitt f r die Registrierungsinformationen mit Textfenstern in die Sie die Informationen zu Ihrer Person eingeben e Einen Abschnitt f r die Zertifikatsanforderungsinformationen mit Text fenstern in die Sie die Informationen ber das gew nschte Zertifikat einge ben Wenn Sie in die Kanneingabefelder des jeweiligen Abschnitts keine Werte eintragen setzt Trust Authority Standardwerte ein die dem von Ihnen angeforderten Zertifikatstyp zugeordnet sind Bitte achten Sie insbesondere auf die folgenden Felder Zertifikatstyp W hlen Sie die IA j aus d ae fiir Ihr Unter nehmen abrufen sollen i ree 6 werden die Zertifikatstypen en CA Zertifikat auf Browser installieren Klicken Sie hier um ein entsprechendes KA Zertifikatl abzurufen das mit dem Zertifikatstyp vereinbar ist Wenn Sie diesen Knopf anklicken wird das CA Zertifikat sofort heruntergeladen Mit diesem Zertifikat kann Ihr Brows
41. aphic Coprocessor inte griert wird 54 Trust Authority Benutzerhandbuch Glossar In diesem Glossar werden alle Termini und Abk rzungen definiert die in diesem Handbuch verwendet werden und die m glicherweise neu oder unbekannt und von Bedeutung sind Numerische Eintr ge 4758 PCI Cryptographic Coprocessor Eine programmierbare manipulationssensitive PCI Bus Verschl sselungskarte die die Ausf hrung von DES und RSA Verschl sselungsoperationen mit hoher Geschwindigkeit erm glicht Die Verschl sselungspro zesse werden in einem gesicherten und abgegrenzten Bereich auf der Karte ausgef hrt Die Karte entspricht den strengen Anforderungen des FIPS PUB 140 1 Level 4 Standards In dem gesicherten und abgegrenzten Bereich kann Software ausgef hrt werden Der SET Standard kann z B zur Verarbeitung von Kreditkarten transaktionen genutzt werden A Abstract Syntax Notation One ASN 1 Eine ITU Notation die zum Definieren der Syntax von Informationsdaten benutzt wird Sie definiert eine Reihe einfacher Datentypen und gibt eine Notation f r die Identifizierung dieser Typen und die Angabe von Werten f r diese Typen an Diese Notationen k nnen verwendet werden wenn es erforderlich ist die abstrakte Syntax von Informationen zu definieren ohne damit die Art der Verschl sselung dieser Informationen f r die bertragung zu beeintr chtigen ACL Access Control List Zugriffssteuerungsliste Aktionsprotokoll Die
42. auf OK Starten Sie die Client Anwendung erneut Der Dialog a ard ffnen wird angezeigt Er enth lt eine Liste Ihrer Smart Cards die f r die Client Anwendung definiert sind Auf Seite m wird dieser Dialog beschrieben W hlen Sie ber Smart Card die Smart Card aus die Sie ffnen wollen Bei Kennwort geben Sie Ihr Kennwort f r die ausgew hlte Smart Card ein Klicken Sie auf OK Das Fenster wird angezeigt Ein Smart Card Kennwort ndern Anmerkung ber diesen Dialog k nnen Sie lediglich das Kennwort einer ge ffne ten ndern Wenn Sie eine physische Smart Card haben lesen Sie die mit dieser Karte gelieferte Dokumentation Sie enth lt Anweisungen f r die Kennwort nderung F hren Sie im Fenster die folgenden Aktionen aus 1 ffnen Sie das Men Smart Card und klicken Sie Kennwort ndern an Der Dialog Kennwort ndern wird angezeigt Auf Seite lil wird dieser Dialog beschrieben Geben Sie das aktuelle Kennwort f r Ihre virtuelle Smart Card ein Geben Sie Ihr neues Kennwort ein und best tigen Sie es durch nochmalige Eingabe F r das Kennwort k nnen Sie 8 bis 32 alphanumerische Zeichen verwenden Achten Sie darauf da Sie sich das Kennwort leicht merken k n nen Kapitel 3 Informationen zur Vorgehensweise 23 4 Anmerkung Die Kennw rter werden bei der Eingabe nicht angezeigt Klicken Sie auf OK oder klicken Sie auf Abbrechen wenn Sie Ihre Meinung ge ndert haben Smart Card E
43. auf PKIx kompatible Anwendungen nse ellte a Eine standardm ige Trust Authority Installation stellt eine Reihe von verschiede nen Zertifikatstypen zur Verf gung die auf diesen Kategorien und Protokollen basieren Registrierte Benutzer k nnen ihrem Bedarf entsprechende Zertifikate anfordern Im Abschnitt 6 werden die Zertifikatstypen beschrieben Browser Zertifikate Ein Browser Zertifikat ist ein digitaler Identit tsnachweis der normalerweise in einer verschl sselten Datei von Ihrem Web Browser gespeichert wird Einige Anwendungen erlauben die Speicherung der Schl ssel auf einer Eman Card oder einem anderen Datentr ger In einem Trust Authority System k nnen Sie ein Browser Zertifikat direkt ber Ihren Web Browser anfordern Zu einem sp teren Zeitpunkt k nnen Sie gegebenenfalls zur Web Seite zur zur ck kehren um dieses Zertifikat zu erneuern oder zu widerrufen CA Zertifikate Alle Browser Server Einheiten und Anwendungen die ber ein Zertifikat zur Vorlage bei Trust Authority Servern verf gen m ssen ebenfalls ein kompatibles CA Zertifikat besitzen Dieses Zertifikat ist erforderlich um die Datenfern verarbeitung von Servern zu authentifizieren die im Besitz von Zertifikaten sind die vom Trust Authority CA ausgestellt sind Kapitel 4 Erl uterungen 29 Ihr Browser mu ber ein Trust Authority CA Zertifikat verf gen damit Sie die gesicherten Trust Authority Registrierungsservices verwenden k nnen Sie
44. ausschlie lich an berechtigte Benutzer ausgegeben werden Die administ rativen Tasks k nnen von automatisierten Prozessen ausgef hrt werden oder von Mitarbeitern die entsprechende Entscheidungen treffen Eine Registrierungskchnittstelle auf Web Basis sorgt daf r da Zertifikate f r Browser Server und andere Zwecke wie beispielsweise f r VPN Einheiten Vir tual Private Network mart Cardd und sichere E Mail bertragung ohne Schwierigkeiten abgerufen werden k nnen Eine Windows Anwendung der Trust Authority Client erm glicht Endbenut zern das Abrufen und Verwalten von Zertifikaten ohne einen Web Browser Eine Verwaltungsschnittstelle auf Web Basis der RA Desktop erm glicht es berechtigten Registrierern Registrierungsanforderungen zu genehmigen oder zur ckzuweisen und Zertifikate nach dem Ausstellen zu verwalten Ein Protokollierungssubsystem berechnet f r jeden Protokolleintrag einen Nach richtenauthentifizierungscode MAC Message Authentication Code Wenn die Protokolldaten ge ndert oder gel scht werden nachdem sie in die Protokoll datenbank geschrieben wurden k nnen Sie diesen Eingriff anhand des MAC feststellen Regel Exits erm glichen es den Anwendungsentwicklern die Registrierungspro zesse anzupassen Integrierte Unterst tzung f r eine Steuerkomponente zur Verschl sselung Damit Operationen im Rahmen der Datenfernverarbeitung authentifiziert werden k nnen werden die Hauptkomponenten von Trust Au
45. authentifizierungscode MAC Ein gehei mer Schl ssel der von Sender und Empf nger gemein sam benutzt wird Der Sender authentifiziert sich und der Empf nger pr ft die hierbei zur Verf gung gestell ten Daten Bei Trust Authority werden MAC Schl ssel f r CA und Pr fkomponenten in den KeyStores gespeichert National Security Agency NSA Die offizielle Sicherheitsbeh rde der US Regierung NIST National Institute of Standards and Technology fr her NBS National Bureau of Standards Aufgabe dieses Instituts ist die Unterst tzung offener Standards und der Interoperabilit t in den verschiedenen Berei chen der Computerbranche NLS National Language Support Unterst tzung in der Landessprache NSA National Security Agency O Objekt Beim objektorientierten Design oder bei der objektorientierten Programmierung eine abstrakte Enti t t die zur Abgrenzung bestimmter Daten und der zugeh rigen Operationen dient Siehe auch Klasse Objekt ID OID Ein von einer Verwaltungsfunktion zugeordneter Datenwert der den in ASN 1 definierten Typ aufweist Objektart Die Art von Objekt die im Directory gespeichert werden kann Beispiele sind eine Firma ein Konferenzraum eine Einheit eine Person ein Pro gramm oder ein Proze ODBC Open Database Connectivity ffentlicher Schl ssel In einem Paar aus einem ffentlichen und einem privaten Schl ssel steht dieser Schl ssel anderen Benutzern zur Verf gung Er e
46. ch formuliert werden Trotz sorgf ltiger Bearbeitung k nnen technische Ungenauigkeiten oder Druckfeh ler in dieser Ver ffentlichung nicht ausgeschlossen werden Anderung des Textes bleibt vorbehalten Verweise in diesen Informationen auf Websites anderer Anbieter dienen lediglich als Benutzerinformationen und stellen keinerlei Billigung des Inhalts dieser Websi tes dar Das ber diese Websites verf gbare Material ist nicht Bestandteil des Mate rials f r dieses IBM Produkt Die Verwendung dieser Websites geschieht auf eigene Verantwortung Werden an IBM Informationen eingesandt k nnen diese beliebig verwendet wer den ohne da eine Verpflichtung gegen ber dem Einsender entsteht Lizenznehmer des Programms die Informationen zu diesem Produkt w nschen mit der Zielsetzung i den Austausch von Informationen zwischen unabh ngigen erstellten Programmen und anderen Programmen einschlie lich des vorliegenden Programms sowie ii die gemeinsame Nutzung der ausgetauschten Informationen zu erm glichen wenden sich an folgende Adresse IBM Corporation Department LZKS 11400 Burnet Road Austin TX 78758 U S A Die Bereitstellung dieser Informationen kann unter Umst nden von bestimmten Bedingungen in einigen F llen auch von der Zahlung einer Geb hr abh ngig sein Die Lieferung des im Handbuch aufgef hrten Lizenzprogramms sowie des zuge h rigen Lizenzmaterials erfolgt im Rahmen der Allgemeinen Gesch fts 49 bed
47. cherung von Computern die Prinzipien Verfahren und Methoden zur Verschl sse lung von unverschl sseltem und zur Entschl sselung von verschl sseltem Text L LDAP Lightweight Directory Access Protocol Lightweight Directory Access Protocol LDAP Ein Protokoll mit dem auf das Directory zugegriffen wer den kann Liste der ausgestellten Zertifikate ICL Eine voll st ndige Liste der ausgestellten Zertifikate sowie deren aktueller Status Die Zertifikate sind anhand der Serien nummer und des Status indexiert Diese Liste wird vom CA verwaltet und in der CA Datenbank gespei chert MAC Message Authentication Code Nachrichtenaut hentifizierungscode 60 Trust Authority Benutzerhandbuch MD2 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Sie wird zusammen mit MD5 in den PEM Protokollen verwendet MD4 Eine Nachrichtenauszugs Hash Funktion auf 128 Bit Basis die von Ron Rivest entwickelt wurde Ihre Geschwindigkeit bersteigt die von MD2 um ein Mehrfaches MD5 Eine unidirektionale Nachrichtenauszugs Hash Funktion die von Ron Rivest entwickelt wurde Sie stellt eine verbesserte Version von MD4 dar MD5 verarbeitet Eingabetext in 512 Bit Bl cken die in 16 32 Bit Unterbl cke aufgeteilt werden Die Ausgabe des Algorithmus ist eine Gruppe von vier 32 Bit Bl cken die verkettet werden und so einen 128 Bit Hash Wert bilden Diese Funktion wird ebenfalls zusammen mit MD2
48. cht vorhan den Hierdurch k nnen zus tzliche Daten bertragungs operationen mit Sendeaufrufen Polling unterst tzt werden PKIX CMP PKIX Certificate Management Protocol PKIX Empfangseinheit Der ffentliche HTTP Server der von einer bestimmten Registrierungsdom ne ver wendet wird um Anforderungen der Client Anwendung von Trust Authority zu empfangen Privacy Enhanced Mail PEM Der vom Internet Architect Board IAB genehmigte Internet Standard f r die verbesserte Wahrung der Vertraulichkeit der die sichere bertragung elektronischer Post E Mail ber das Internet erm glicht Die PEM Protokolle regeln Verschl sselung Authentifizierung Nachrichtenintegri t t und Schl sselverwaltung Privater Schl ssel In einem Paar aus einem ffentli chen und einem privaten Schl ssel steht dieser Schl s sel nur f r seinen Eigner zur Verf gung Er erm glicht dem Eigner das Empfangen einer privaten Transaktion oder eine digitale Unterschrift Die mit einem privaten Schl ssel unterzeichneten Daten k nnen nur mit dem entsprechenden ffentlichen Schl ssel gepr ft werden Gegensatz zu ffentlicher Schl ssel Siehe auch Schl ssel paar aus ffentlichem und privatem Schl ssel Protokoll Eine vereinbarte Konvention f r die Kom munikation zwischen Computern Protokollierungssubsystem Bei Trust Authority ein Subsystem das die Unterst tzungsfunktionen zum Protokollieren von sicherheitsrelevanten Aktionen bereits
49. d Schl sselpaar Zusammengeh rende Schl ssel die bei der asymmetrischen Verschl sselung eingesetzt werden Ein Schl ssel wird zur Verschl sselung der andere zur Entschl sselung verwendet Schl sselpaar aus ffentlichem und privatem Schl s sel Ein Schl sselpaar aus ffentlichem und privatem Schl ssel stellt ein grundlegendes Element der Ver schl sselung auf der Basis von Schl sselpaaren dar Diese Form der Verschl sselung wurde im Jahr 1976 von Whitfield Diffie und Martin Hellman eingef hrt um Probleme bei der Schl sselverwaltung zu l sen Nach diesem Konzept erh lt jeder Benutzer ein Schl sselpaar bei dem einer als ffentlicher und einer als privater Schl ssel bezeichnet wird Der ffentliche Schl ssel ist hierbei allgemein bekannt der private Schl ssel wird hingegen geheimgehalten Sender und Glossar 63 Empf nger m ssen geheime Daten nicht gemeinsam benutzen Alle Kommunikationsoperationen werden lediglich auf der Basis ffentlicher Schl ssel ausgef hrt Die privaten Schl ssel werden niemals bertragen oder gemeinsam verwendet Auf diese Weise ist es nicht mehr notwendig sich auf die Sicherheit eines bertra gungskanals gegen ber Manipulationen zu verlassen Die einzige Anforderung ist da ffentliche Schl ssel den entsprechenden Benutzern in einer gesicherten authentifizierten Weise z B in einem gesicherten Verzeichnis zugeordnet werden Jeder Benutzer kann nun mit Hilfe diese
50. dacht ist die sich bereits vorab registriert haben Die Anwendung stellt auch Dialoge und Befehle zur Verf gung die Ihnen dabei helfen sollen Ihre Zertifikate abzurufen und anschlie end zu verwalten Das vorliegende Handbuch unterst tzt Sie bei allen genannten Registrierungs Tasks 4 Trust Authority Benutzerhandbuch Kapitel 3 Informationen zur Vorgehensweise Die folgenden Abschnitte enthalten Anweisungen zu jedem Schritt bei der Registrierung eines Zertifikats auf der Registrierungs Web Seite von Trust Authority sowie Anweisungen dazu wie Sie diese Seite verwenden um die dort abgerufenen Browser Zertifikate zu verwal ten Anweisungen dazu wie die Trust Authority Client Anwendung verwendet wird um ein Zertifikat nach der Vorabregistrierung lnzufordernl oder um Ihre Zertifi kate und zu verwenden Zugriff auf die Registrierungs Web Seite Um auf die Registrierungs Web Seite zuzugreifen gehen Sie folgendermafsen vor Stellen Sie sicher da Ihre Datenstation die im Abschnitt Svstem 8 aufgef hrten e a erf llt 2 Rufen Sie die URL Ihres Unternehmens f r den Zugriff auf die Registrierungs Web Seite ab Die URL hat das folgende Format http Mein_ ffentlicher_Web Server Meine_Dom ne index jsp 3 ffnen Sie Ihren Browser und geben Sie die URL ein e Wenn Sie Netscape verwenden geben Sie die URL bei Pfad in das Text fenster ein Wenn Sie den Internet Explorer verwenden geben Sie
51. den folgenden Optio nen Hilfethemen Zeigt das Benutzerhandbuch von Trust Authority an Zu diesem Fenster Zeigt einen Hilfetext f r das aktuelle Fenster an Jeder Dialog verf gt ber den Knopf Hilfe mit dem Sie einen Hilfetext zu der von Ihnen jeweils ausgef hrten Task anzeigen k nnen Jedes Feld verf gt ber einen kontextbezogenen Hilfetext der angezeigt wird wenn der Cursor sich in dem entsprechenden Feld befindet Zugeh rige Abschnitte berlegungen zur Unterst tzung in der Landessprache In diesem Abschnitt werden die Unterschiede zusammengefa t die zwischen der englischen Version von Trust Authority und den Versionen in anderen unterst tz ten Sprachen bestehen Wenn Sie Zertifikate anfordern oder verwalten die eine nicht englische Trust Authority Version verwenden lesen Sie diesen Abschnitt um zu erfahren welche Unterschiede es beim Anzeigen und Verarbeiten von Daten in Ihrer jeweiligen Sprache m glicherweise gibt Es folgt eine Liste der Sprachencodes f r die unterst tzten Sprachen e de_DE f r Deutsch en_US f r Englisch es_ES f r Spanisch fr_FR f r Franz sisch it_IT f r Italienisch e ja_JP f r Japanisch e ko_KR f r Koreanisch pt_BR f r brasilianisches Portugiesisch zh_CN f r vereinfachtes Chinesisch zh_TW f r traditionelles Chinesisch Zertifikate mit Nicht ASCII DNs anfordern Sie k nnen Trust Authority dazu verwenden Zertifikate mit Nicht ASCII
52. der Landessprache NLS Unter st tzung f r unterschiedliche l nderspezifische Anga ben in einem Produkt Hierzu geh ren die Sprache die W hrung das Datums und Zeitformat und die Dar stellung von Zahlen Unterzeichnen Die Verwendung eines digitalen priva ten Schl ssels zum Generieren einer Unterschrift Diese Unterschrift dient dazu zu beweisen da ein bestimm ter Benutzer f r die von ihm unterzeichnete Nachricht verantwortlich ist und diese akzeptiert Unterzeichnen Pr fen Als Unterzeichnen wird die Verwendung eines privaten Schl ssels zum Generieren einer Unterschrift bezeichnet Unter Pr fen versteht man die Verwendung des entsprechenden ffentlichen Schl ssels zur Verifizierung dieser Unterschrift Unverschl sselter Text Nicht verschl sselte Daten Synonym zu Klartext URL Uniform Resource Locator URL Adresse URL Adresse Ein Schema f r die Adressierung von Ressourcen im Internet Die URL Adresse gibt das verwendete Protokoll sowie den Host Namen und die IP Adresse an Au erdem enth lt er Angaben zur Anschlu nummer zum Pfad sowie weitere Ressourcen details die erforderlich sind um ber eine bestimmte Maschine auf eine Ressource zuzugreifen UTF 8 Ein Umsetzungsformat Es erm glicht Informa tionsverarbeitungssystemen die nur die Verarbeitung von 8 Bit Zeichens tzen unterst tzen die Umsetzung von 16 Bit Unicode in ein 8 Bit quivalent und umge kehrt ohne da hierbei Informationen ve
53. des Zertifikats verwendet werden soll Geben Sie die Position f r die Erstellung einer Datei an in der das Zertifikat gespeichert werden soll Geben Sie dazu entweder den Pfad und den Datei namen ein oder klicken Sie auf Anzeigen um einen Pfad auszuw hlen und dann einen Dateinamen einzugeben Trust Authority Benutzerhandbuch 6 Geben Sie ein Kennwort zum Schutz der Datei ein und best tigen Sie es durch nochmalige Eingabe F r das Kennwort k nnen Sie 8 bis 32 alphanumerische Zeichen verwenden 7 Klicken Sie auf OK oder klicken Sie auf Abbrechen wenn Sie Ihre Meinung ge ndert haben Ein Zertifikat aus einer Datei auf eine Smart Card importieren F hren Sie im Fenster die folgenden Aktionen aus 1 W hlen Sie das Zertifikat aus das Sie auf die ge ffnete Smart Card importieren wollen ffnen Sie das Men Zertifikat und klicken Sie auf Importieren Der Dialog Zertifikat importieren wird angezeigt Auf Seite 42 wird dieser Dialog beschrieben Geben Sie die aktuelle Position der Datei an an der sich das Zertifikat befindet Geben Sie dazu entweder den Pfad und den Dateinamen ein oder klicken Sie auf Anzeigen um beides auszuw hlen Geben Sie das Kennwort ein das Sie beim Exportieren des Zertifikats in die Datei erstellt haben Geben Sie einen aussagekr ftigen Namen ein um das Zertifikat auf der Smart Card erkennen zu k nnen Klicken Sie auf OK oder klicken Sie auf Abbrechen wenn Sie Ihre Meinung g
54. dung gesen det Die Client Anwendung speichert es dann automatisch auf Ihrer Fer Cardl Die Anzeige informiert Sie dar ber da Sie nun im Besitz des Zertifikats sind Web Browser Unterst tzung Mit Trust Authority k nnen Sie eine Registrierungsanforderung erstellen indem Sie ein Registrierungsformular ausf llen und ber einen der beiden folgenden Web Browser bergeben Microsoft Internet Explorer Release 4 0 oder h her Netscape Navigator oder Communicator Version 3 0 oder h her Registrierung Die Registrierung ist der Proze ber den ein genehmigt und an eine Person oder andere Entit t ausgestellt wird Bei Trust Authority wertet ein Programm oder ein Registrator vor der Registrierung die Informationen aus die zusammen mit der Reg ing zur Verf gung gestellt wurden Unabh ngig davon ob die ee genehmigt wird oder nicht erstellt die Trust Authority Registrierungsstelle RA in der Reg i Datensatz f r die entsprechende Anforderung Wenn E den Er das Zertifi kat zu genehmigen wird es vom Trust Authority Zertifikatsausstellerl CA ausge stellt Unternehmensregeln Wenn ein Programm oder ein Registrator Ihre Angaben zur Registrierung auswer tet werden auf einige dieser Registrierungsinformationen zur rem die Regeln Ihres Unternehmens angewandt Die Art der Informationen die ein Pro gramm auswerten kann ist weniger komplex als die Informationen die von einem Registrator ausgewertet werden k nne
55. dung zu einer sicheren Sitzung herzustellen Die Standardeinstellung ist Microsoft Base Cryptographic Provider Dieser Verschl sselungsserviceanbieter stellt Schl ssel mit 512 Bit f r die Ver schl sselung zur Verf gung Microsoft Enhanced Cryptographic Provider sofern auf Ihrem System installiert stellt Schl ssel mit 1024 Bit zur Verf gung Schl sselsatz Nur Internet Explorer Browser Registrierung Dies ist das zu verwendende Schl sselpaar W hlen Sie Neuen Schl sselsatz generieren aus oder ff nen Sie die Liste und w hlen Sie eines der vorhandenen Schl sselpaare aus Name des neue Schl sselsatzes Nur Internet Explorer Browser Registrierung Dies ist der Name des neuen Schl sselsatzes der generiert werden soll Sie k nnen dieses Feld auch leer lassen und eine GUID Globally Unique Identifier f r den Namen generie ren lassen In diesem Fall ist es jedoch schwieriger das Schl sselpaar wie derzuerkennen Zus tzliche Sicherheitsoptionen Dies sind zus tzliche Sicherheitsfunktionen die Microsoft Internet Explorer f r Ihr neues Schl sselpaar zur Verf gung stellt Wenn Sie diese Option ausw hlen zeigt ihr Web Browser unmittelbar nach bergabe dieses Regi strierungsformulars entsprechende Internet Explorer Dialoge an mit denen Sie diese Optionen einstellen k nnen Firmenname Dies ist der gesetzlich registrierte Name Ihrer Firma Abteilung Dies ist der Name Ihrer Abteilung beispielsweise Personalabtei
56. e ndert haben Ein Zertifikat auf eine andere Smart Card verschieben F hren Sie im Fenster die folgenden Aktionen aus 1 W hlen Sie das Zertifikat aus das Sie von der ge ffneten Smart Card auf eine andere Smart Card verschieben wollen F hren Sie die ehrt zum Exportieren Abschnitt werden diese Schritte beschrieben erlassen Sie die Client Anwendung Wenn Sie das Zertifikat auf eine physische Smart Card verschieben wollen laden Sie diese Smart Card dieses Zertifikats in eine Datei aus Im Starten Sie die Client Anwendung erneut und Bffnenl Sie diesmal de zuvor eladene Smart Card Im Abschnitt 2 wird beschrieben wie dabei Poruschen ist Fuhren Sie die Schritte zum des A a aus der Datei Laut die Ein Zertifikat zum Anzeigen von Details ffnen F hren Sie im Fenster die folgenden Aktionen aus 1 2 3 Wahlen Sie das Zertifikat aus fiir das Sie Details anzeigen wollen Offnen Sie das Menii Zertifikat und klicken Sie auf Offnen Der Dialog wird angezeigt Auf Seite Lal wird dieser Dialog beschrieben Uberpriifen Sie im Dialog die Beschreibung des Zertifikats Klicken Sie auf OK wenn Sie mit der Uberpriifung fertig sind Kapitel 3 Informationen zur Vorgehensweise 19 Ein Zertifikat in den Wartestatus setzen F hren Sie im Fenster die folgenden Aktionen aus 1 2 3 Wahlen Sie das Zertifikat aus das Sie in den Wartestatus setzen wollen ffnen Sie das Men Zertifikat und klicken Si
57. e Informationen zur Verf gung stellen die Sie auch bei der ersten Registrierung angegeben haben Zugriff auf gesicherte Ressourcen Dieser Abschnitt erl utert die Verwendung und Verwaltung von Zertifikaten Zugriffssteuerung Eine Zugriffssteuerungsliste ACL Acces Control List l interne Trust Authority Benutzer Einheiten und Software Beispiel Das RA Desktop Unterst tzungs Servlet verwendet die ACL um Registratoren zu authenti fizieren und zu genehmigen bevor diese auf den RA Desktop zugreifen k nnen Authentifizierung und Genehmigung Bei der Authentifizierung wird eine Identit t berpr ft w hrend eine Genehmi gung die Berechtigung f r eine Aktion ist Trust Authority erm glicht es Ihrem Unternehmen sowohl eine Authentifizierung als auch eine Genehmigung zu ver langen bevor Benutzer auf gesicherte Anwendungen zugreifen k nnen Im Gegen zug k nnen inhaber darauf vertrauen da die von ihnen genutzten Anwendungen auch sicher sind Digitale Unterschriften Mit Hilfe eines Ihrer Zertifikatd k nnen Sie eine Datei mit einer digitalen Unter schrift versehen Diese Unterschrift sagt dem Empf nger einer Datei beim ffnen ob deren Inhalt seit der Unterzeichnung ge ndert worden ist Mit der digitalen Unterschrift wird der Inhalt der Datei nicht Smart Cards Smart Cards sind Speichereinheiten in denen digita aufbewahrt werden k nnen Es gibt virtuelle Smart Cards die sich auf Ihrer Daten station befinden
58. e Telefonauskunft HALLO IBM Telefonnr 01803 31 32 33 steht Ihnen ebenfalls zur Kl rung allgemei ner Fragen zur Verf gung Kommentare Danke f r Ihre Bem hungen Sie k nnen ihre Kommentare betr dieser Ver ffentlichung wie folgt senden Als Brief an die Postanschrift auf der R ckseite dieses Formulars e Als E Mail an die folgende Adresse comment tcvm vnet ibm com Name Adresse Firma oder Organisation Rufnummer E Mail Adresse Antwort SH12 2978 01 IBM Deutschland Informationssysteme GmbH SW NLS Center 70548 Stuttgart SH12 2978 01 Programmnummer 5648 D09 Printed in Denmark SH12 2978 01
59. e auf Widerrufen Der Dialog Zertifikat widerrufen wird angezeigt Auf Seite Ls wird dieser Dialog beschrieben Uberpriifen Sie im Dialog die Beschreibung des Zertifikats Die Beschreibung enth lt die Seriennummer und den Aussteller Auf Seite H3l werden die ange zeigten Details beschrieben Bei Begr ndung w hlen Sie die Option Zertifikat in den Wartestatus setzen aus W hlen Sie ber die URL der RA sofern das Feld nicht bereits ausgef llt ist die URL der Registrierungsstelle aus die Ihre urspr ngliche Zertifikatsanforde rung genehmigt hat oder geben Sie die entsprechende URL ein Klicken Sie auf OK oder klicken Sie auf Abbrechen wenn Sie Ihre Meinung ge ndert haben Anmerkung Sofern das Zertifikat nicht abl uft w hrend es sich auf der Zertifil CRL befindet k nnen Sie Ihren Registrator bit ten es sp ter erneut zu aktivieren Ein Zertifikat erneuern Wenn Sie ein Zertifikat erneuern dann hat das neue Zertifikat dieselbe G ltigkeits dauer wie das alte Sie k nnen entweder das Schl sselpaar des alten Zertifikats verwenden oder ein neues Schl sselpaar generieren F hren Sie im Fenster die folgenden Aktionen aus 1 2 3 Wahlen Sie das Zertifikat aus das Sie erneuern wollen ffnen Sie das Men Zertifikat und klicken Sie auf Erneuern Der Dialog Zertifikat erneuern wird angezeigt Auf Seite HJ wird dieser Dialog beschrieben Uberpriifen Sie im Dialog die Beschreibung des Zertifikats Die
60. en kann sie in Bezug auf eine ausgedehnte Schl sselsuche flexibler als DES gestaltet werden Sie verf gt ber eine Blockgr e von 64 Bit und arbeitet auf Softwareebene zwei bis dreimal schneller als DES RC2 kann in den selben Modi eingesetzt werden wie DES Durch eine Vereinbarung zwischen SPA Software Publishers Association und der US Regierung nimmt RC2 einen speziellen Status ein Hierdurch ist das Genehmigungsverfahren f r den Export einfacher und schneller als dies bei anderen Verschl sselungsproduk ten der Fall ist Um die Voraussetzungen f r eine rasche Exportgenehmigung zu erf llen mu ein Pro dukt mit einigen Ausnahmen die RC2 Schl sselgr e auf 40 Bit beschr nken Eine zus tzliche Zeichenfolge kann verwendet werden um Nichtberechtigte abzu wehren die versuchen eine umfangreiche Tabelle m glicher Verschl sselungsvarianten vorauszu berechnen Regel Exit In einer Registrierungsfunktion ein auf Unternehmensebene definiertes Programm das von der Registrierungsanwendung aufgerufen wird Die Regeln eines Regel Exits implementieren die Unternehmens und Sicherheitsbenutzervorgaben eines Unternehmens f r den Registrierungsproze Registrator Ein Benutzer der f r den Zugriff auf RA Desktop sowie zur Verwaltung und Anforderung von Zertifikaten berechtigt ist Registrierter Name DN Der eindeutige Name eines im Directory gespeicherten Dateneintrags Der DN dient zur eindeutigen Identifizierung der P
61. en jeweils ihren eigenen Eintrag Jeder Eintrag besteht aus Attributen denen verschiedene Typen zugewiesen sind Diese enthalten Informationen zu den Objekten f r die der jeweilige Eintrag steht Jeder Eintrag im Directory ist mit einem zugeordneten registrierten Namen DN Distinguished Name ver bunden Dieser ist eindeutig wenn der Eintrag ein Attribut umfa t das f r das tats chliche Objekt als eindeutig bekannt ist Im folgenden DN Beispiel wurde als Land C Country US als Unternehmen O Organization IBM als Unternehmenseinheit OU Organization Unit Trust und als allgemeiner Name CN Common Name der Wert CAl angegeben C US 0 IBM OU Trust CN CAl Directory Server Unter Trust Authority das IBM SecureWay Directory Dieses Directory unterst tzt die LDAP Standards und verwendet DB2 als Basissystem Distinguished Encoding Rules DER Durch DER werden bestimmte Einschr nkungen f r BER definiert Mit DER kann genau ein bestimmter Verschl sselungs typ aus den verf gbaren und auf der Basis der Ver schl sselungsregeln als zul ssig definierten Typen ausgew hlt werden Hierdurch werden alle Senderop tionen eliminiert DL Data Storage Library Datenspeicherbibliothek DN Distinguished Name Registrierter Name Dokumentverschl sselungsschl ssel DEK Norma lerweise ein symmetrischer Ver Entschl sselungsschl ssel z B DES Dom ne Siehe Sicherheitsdom ne und Registrierungs dom ne DSA
62. en der Registrierungsinformationen lesen Registrierungsdom nen Jedes Trust Authority System verf gt ber eine eigene Registrierungsdom ne Diese Dom ne definiert die een Zertifikatsregeln und Ressourcen die mit der Registrierung und Zertifizierung in Ihrem Unternehme in Zusammen hang stehen Benutzer die auf eine Ressource zugreifen wollen m ssen f r die Dom ne dieser Ressource registriert sein Wenn die RA Server Software installiert ist enth lt sie das Ger st mit dem ein Unternehmen eine Registrierungsfunktion aufbauen kann Sie kann alle Sprachen und Regeln verwenden die von der Registrierungsstelle RA unterst tzt werden Der Dom nenname die Sprache und der Installationspfad bilden die URL f r den Zugriff auf ein bestimmtes Exemplar der Registrierungsfunktion Beispiel Wenn der Name Ihres ffentlichen Web Servers Mein_6ffentlicher_Web Server MyPublicWebServer und der Name Ihrer Dom ne Meine_Dom ne MyDomain lautet w rden Sie f r den Zugriff auf die Registrierungsfunktion die folgende URL verwenden http MyPublicWebServer MyDomain index jsp Ein Trust Authority System enth lt eine standardm ige Java Server Seite index jsp mit der entsprechenden Registrierungsfunktion Diese Seite wird ber die Registrierungs URL Ihrer Registrierungsdom ne angezeigt Sie stellt die folgen den Registrierungsservices zur Verf gung e Potentielle Benutzer rufen diese Web Seite auf um ein Zertifika
63. enzertifikat 7 30 Erl uterungen Abschnitte 25 Erneuerbares Zertifikat 30 Erneuerbarkeit 30 Erneuerung ber Client Anwendung 20 ber die Registrierungs Web Seite 12 G Gegenseitige Zertifizierung 28 Gesch ftsproze variablen 30 Gesicherte Anwendungen 31 Gesicherte Ressourcen 3 31 G ltigkeitszeitraum 36 H Hilfe f r die Client Anwendung 47 Identifikationspr fungsantwort 6 7 9 10 33 Informationen zur Vorgehensweise Abschnitte 5 initsc Programm 15 Installieren der Client Anwendung 14 Internet Explorer Browser Zertifikat 6 L LDAP Protokoll 28 Liste der Zertifikate 22 L schen einer Anforderung Client Anwendung 18 MD5 With RSA Algorithmus 46 Men s Fenster Smart Card 39 69 N Netscape Browser Zertifikat 6 Nicht erneuerbares Zertifikat 30 P Physische Smart Cards aktivieren 15 PKCS 10 Anforderung f r Zertifika te 30 33 PKIX kompatible Anwendung 9 29 Protokoll Directory Zugriff 28 Protokolle 29 R RA 27 RA Desktop 25 27 Referenzinformationen Abschnitte 33 Registerkarten Fenster Smart Card 22 40 Registrator 25 26 27 Registrierter Name 29 Registrierung 26 automatisiert 26 Bedarf 3 Regeln 27 Systemvoraussetzungen 38 ber die Client Anwendung 17 ber die Registrierungs Web Seite 5 Web Browser Unterst tzung 26 Registrierung Client Anwendung mit Transaktions ID 17 mit Vorabregistrierungsdatei 17 Registrierungs Web Seite 3 5 Anforderungs ID 6 7 9 A
64. eordneten CAs definiert werden Wenn Benutzer oder Server bei einem Zertifikatsaus steller registriert werden wird ihnen ein von diesem Aussteller unterzeichnetes Zertifikat zugeordnet Au erdem bernehmen sie die Zertifizierungshierarchie der bergeordneten Ebenen CA Server Der Server f r die CA Komponente von Trust Authority CA Zertifikat Ein Zertifikat das vom Web Browser eines Benutzers auf dessen Anforderung hin von einem nicht identifizierten CA akzeptiert wird Der Browser kann dann dieses Zertifikat verwenden um f r die Kommunikation mit Servern die ber Zertifikate dieses CAs verf gen eine Authentifizierung durchzuf hren 56 Trust Authority Benutzerhandbuch CAST 64 Ein Block Cipher Algorithmus der mit einer Blockgr e von 64 Bit und einem 6 Bit Schl ssel arbei tet Er wurde von Carlisle Adams und Stafford Tavares entwickelt CCA Common Cryptographic Architecture CDSA Common Data Security Architecture CGI Common Gateway Interface Client 1 Eine Funktionseinheit die gemeinsam benutzte Services von einem Server empf ngt 2 Ein Computer oder Programm der das Services von einem anderen Computer oder Programm anfordert Client Server Ein Modell f r die verteilte Verarbei tung bei dem ein Programm an einem Standort eine Anforderung an ein Programm an einem anderen Standort sendet und auf eine Antwort wartet Das anfordernde Programm wird als Client das antwor tende als Server bezeichn
65. er Absender einer Nachricht die berechtigte Person ist als die er sich ausgibt Der Pro ze berpr ft au erdem ob ein Kommunikations teilnehmer auch tats chlich mit dem erwarteten Endbe nutzer oder System in Verbindung steht BER Basic Encoding Rules Berechtigung Die Erlaubnis auf eine Ressource zuzu greifen Bestreiten Etwas als unwahr zur ckweisen Dies ist z B dann der Fall wenn ein Benutzer abstreitet eine bestimmte Nachricht gesendet oder eine bestimmte Anforderung bergeben zu haben Browser Siehe Web Browser Browser Zertifikat Ein digitales Zertifikat das auch als Zertifikat der Client Seite bezeichnet wird Es wird von einem CA ber einen f r SSL aktivierten Web Server ausgestellt Die Schl ssel in einer verschl sselten Datei erm glichen dem Inhaber des Zertifikats das Verschl sseln Entschl sseln und Unterzeichnen von Daten Normalerweise werden diese Schl ssel im Web Browser gespeichert In bestimmten Anwendungen k nnen die Schl ssel auf Smart Cards oder anderen Speichermedien gespeichert werden Siehe auch Digita les Zertifikat Bytecode Maschinenunabh ngiger Code der mit dem Java Compiler generiert und mit dem Java Interpreter ausgef hrt wird C CA Certificate Authority Zertifikatsaussteller CA Hierarchie Bei Trust Authority eine Sicherungs struktur bei der ein CA auf der h chsten Ebene positio niert ist Anschlie end k nnen bis zu vier weitere Ebenen mit unterg
66. er Daten authentifizieren die von Trust Authority gesendet werden Wenn Sie aus irgendeinem Grund bereits ber ein solches Zertifikat verf gen ben tigen Sie davon kein zweites E Mail Adresse Um E Mail Benachrichtigung ausw hlen zu k nnen m ssen Sie Ihre E Mail Adresse angeben E Mail Benachrichtigung W hlen Sie dieses Feld aus wenn Sie per E Mail ber das Ergebnis Ihrer Anforderung benachrichtigt werden wollen Identifikationspr fungsantwort Stellen Sie sicher da Sie die von Ihnen angegebene Identifikations pr fungsantwort von Gro Kleinschreibung abh ngig nicht verges sen Sie ben tigen die Antwort sp ter um den Status der Registrie rungsanforderung berpr fen zu k nnen Allgemeiner Name Das Feld Allgemeiner Name enth lt bereits Informationen die Sie f r Vorname und Nachname angeben Wenn Sie die Eintr ge f r den Vor bzw Nachnamen zu einem sp teren Zeitpunkt ndern werden diese nderungen m glicherweise nicht automatisch f r den allgemeinen Trust Authority Benutzerhandbuch Namen bernommen Ist dies der Fall m ssen Sie das Feld Allgemei ner Name mit dem ge nderten Vornamen und Nachnamen aktualisie ren bevor Sie das Registrierungsformular bergeben Dom nenname Geben Sie den Namen der Maschine an auf der das Zertifikat instal liert wird falls sie mit der Verwendung des Zertifikats in Zusammen hang steht F r Browser Zertifikate ist dieses Feld wahlfrei Verwenden Sie das Feld
67. ernet Engineering Task Force IETF Eine Gruppe die sich schwerpunktm ig mit dem Entwickeln und Definieren von Protokollen f r das Internet befa t Sie repr sentiert eine internationale Gruppe von Netzdesi gnern bedienern herstellern und forschern Die Aufgabe der IETF ist die Entwicklung der Internet Architektur sowie die Gew hrleistung der reibungslo sen Verwendung des Internets Intranet Ein Netz innerhalb eines Unternehmens das sich im allgemeinen hinter Firewalls befindet Es basiert auf dem Internet und setzt eine hnliche Technologie ein Vom technischen Standpunkt aus ist ein Intranet eine Erweiterung des Internets Zu den in beiden Net zen benutzten Komponenten geh ren z B HTML und HTTP IPSec Ein von der IETF entwickelter IPS Standard IPS Internet Protocol Security IPSec ist ein Protokoll der Vermittlungsschicht das entwickelt wurde um Services f r die Gew hrleistung der Sicherheit bei der Verschl sselung zur Verf gung zu stellen die kombi nierte Funktionen zur Authentifizierung Sicherung der Integrit t Zugriffssteuerung und Wahrung der Vertrau lichkeit flexibel unterst tzen Aufgrund seiner lei stungsf higen Funktionen bei der Authentifizierung wurde dieser Standard von vielen Lieferanten von VPN Produkten als Protokoll zum Aufbau sicherer Punkt zu Punkt Verbindungen im Internet bernom men ISO International Standards Organization ITU International Telecommunication Union J
68. erung genehmigt wird erhalten Sie eine Transaktions ID ein Kennwort und die URL der RA die die Anforderung genehmigt hat Diese Informationen teilen Sie der vorab registrierten Person mit per Telefon E Mail oder pers nlich Um es f r die betreffende Person besonders einfach zu machen haben Sie auch die M glichkeit ihr eine Vorabregistrierungsdatei zur 25 Verf gung zu stellen in der weitere Anforderungsinformationen enthalten sind Wenn die Person bereit ist ihr Zertifikat anzufordern verwendet sie die von Ihnen gelieferten Informationen Wenn Sie selbst ein vorab registrierter Benutzer sind befolgen Sie die Anweisun gen des folgenden Szenarios um Ihr Zertifikat abzurufen Per Telefon E Mail oder pers nlich erhalten Sie die Informationen die Sie ben tigen um Ihr Zertifikat anfordern zu k nnen Entweder erhalten Sie eine Transaktions ID ein Kennwort und die URL der RA die die Anforderung genehmigt hat oder Sie erhalten eine Vorabregistrierungsdatei und ein Kenn wort Das Zertifikat fordern Sie ber die Client Anwendung an Wenn Sie dazu aufge fordert werden geben Sie die Informationen an die Sie zuvor erhalten haben e W hrend der Verarbeitung Ihrer Zertifikatsanforderung wird die Anforderung im Fenster der Client Anwendung angezeigt zusammen mit allen Zertifikaten die bereits auf der ge ffneten Smart Card vorhanden sind Wenn das Zertifikat fertiggestellt ist wird es ber die Client Anwen
69. et Codeunterzeichnung Ein Verfahren zum Unterzeich nen ausf hrbarer Programme mit einer digitalen Unter schrift Die Codeunterzeichnung dient zur Verbesse rung der Zuverl ssigkeit von Softwarekomponenten die ber das Internet verteilt werden Common Cryptographic Architecture CCA IBM Software die einen konsistenten Verschl sselungsansatz auf den wichtigsten IBM Computerplattformen bietet Sie unterst tzt Anwendungssoftware die in einer Viel zahl von Programmiersprachen geschrieben wurde Die Anwendungssoftware kann hierbei die CCA Services aufrufen um eine breite Palette kryptografischer Funk tionen einschlie lich der DES und der RSA Verschl sselung auszuf hren Common Data Security Architecture CDSA Eine Initiative zum Definieren eines umfassenden Ansatzes f r Sicherheitsservices und Sicherheitsverwaltungsope rationen bei computerbasierten Sicherheitsan wendungen Diese Architektur wurde von Intel entwor fen und dient dazu Computerplattformen f r Anwendungen sicherer zu gestalten Common Gateway Interface CGI Ein Standard verfahren zum bertragen von Informationen zwischen Web Seiten und Web Servern CRL Certificate Revocation List Zertifikatswiderrufs liste CRL Ver ffentlichungsintervall Dieses Intervall wird in der CA Konfigurationsdatei definiert und gibt das Zeitintervall zwischen zwei Ver ffentlichungen der Zertifikatswiderrufsliste im Directory an D D mon Ein Programm da
70. et die Erstellung eines digitalen Zertifikats f r eine Entit t oder eine Person Bei Trust Authority erfolgt die Zertifizierung erst nach der ber pr fung und Genehmigung einer een Infolge der Registrie rung stellt der CA die Zertifikate aus Bei Trust Authority stimmt der ausgestellte RET mit den Regeln Ihres Unternehmens berein Zertifikatsaussteller Bei Trust Authority ist der Zertifikatsaussteller CA ein Server Programm das f r das Ausstellen digitaler Zertifikate verantwortlich ist die mit den Ihres Unternehmens bereinstimmen Trust Authority unterst tzt die gegenseitige Zertifizierung bei der CAs die sich gegenseitig vertrauen die Zertifikate des jeweils anderen CA als Authentizit ts nachweis akzeptieren Trust Authority unterst tzt ebenfalls eine CA Hierarchie CAs vertrauen den CAs die in der Hierarchie ber ihnen stehen und akzeptieren die Zertifikate dieser CAs als Authentizit tsnachweise Zertifikatswiderrufslisten CRL Die Trust Authority RA ver ffentlicht in regelm igen Abst nden eine Zertifikats widerrufsliste CRL Sie enth lt die Zertifikate die on men gie sind damit Inhaber solcher Zertifikate die diese vorlegen nicht werden Alle CAs RAs und Anwendungen k nnen auf diese Liste zugreifen um festzustel len ob ein Zertifikat widerrufen wurde oder nicht Dies ist eine Ma nahme mit der die Trust Authority RA f r Sicherheit sorgt wenn Benutzer versuchen auf die gesicherten Anwendunge
71. f r Sie ausgibt Wenn Sie den Status der Registrie rungsanforderung berpr fen wird Ihnen diese Frage gestellt Sie m ssen die Identifikationspr fungsfrage beantworten unabh ngig davon ob die Anforderung f r Sie selbst f r einen Server oder eine Einheit oder zur Vorabregistrierung einer anderen Person gestellt wird Identifikationspr fungsantwort Dies ist die Antwort auf die Identifikationspr fungsfrage die Sie angege ben haben Geben Sie eine Antwort ein die leicht zu merken ist Wenn Sie den Status Ihrer Anforderung berpr fen m ssen Sie genau dieselbe Antwort eingeben Anmerkung Bei der Antwort ist die Gro Kleinschreibung zu beachten Kennwort Nur Vorabregistrierung Dies ist das Kennwort das die von Ihnen vorab registrierte Person der Client Anwendung zur Verf gung stellen mu wenn sie bereit ist das Zertifikat herunterzuladen Verwenden Sie die Zeichen A Z a z und 0 9 Das Kennwort darf zwischen 8 und 32 Zeichen enthalten Wenn Sie kein Kennwort angeben generiert die Registrierungsfunktion f r Sie ein Kennwort das 10 Zeichen enth lt Bei Genehmigung der Vorabregi strierungsanforderung erhalten Sie dieses Kennwort zusammen mit einer Transaktions ID Kennwort best tigen Nur Vorabregistrierung Geben Sie dasselbe Kennwort nochmals ein Die Zertifikatsanforderungsinformationen enthalten die folgenden Felder PKCS MnZerifikatsanforderung p e eite erung Dieses Feld ist f r den Inhalt der PKCS
72. g W hlen Sie dieses Feld aus wenn Sie per E Mail vom Ergebnis Ihrer Anforderung informiert werden wollen Identifikationspr fungsfrage Sie k nnen die Frage ndern die Ihnen gestellt wird wenn Sie den Status Ihrer Anforderung berpr fen Identifikationspr fungsantwort Stellen Sie sicher da Sie die von Ihnen angegebene Identifikations pr fungsantwort von Gro Kleinschreibung abh ngig nicht verges sen Sie ben tigen die Antwort sp ter um den Status der Registrie rungsanforderung berpr fen zu k nnen F r Internet Explorer e Befolgen Sie die Anweisungen auf dem Formular wenn Sie den Provider f r Ihren Verschl sselungsservice wechseln wollen e Entscheiden Sie ob ein neuer Schl sselsatz erstellt oder der vorhan dene erneut verwendet werden soll Soll ein neuer Schl sselsatz erstellt werden haben Sie die M glichkeit ihn selbst zu benennen e Wahlen Sie Zus tzliche Sicherheitsoptionen aus um gegebenenfalls weitere Sicherheitsma nahmen von Microsoft Internet Explorer anzu fordern Klicken Sie auf Zertifikat erneuern Merken Sie sich Ihre Anforderungs ID wenn diese angezeigt wird damit Sie 2 ifen k nnen Im Abschnitt Registrierungsstatus berpr fen auf Seite 10 wird beschrieben wie Sie den Status Ihrer Anforderung berpr fen k nnen Ein Zertifikat widerrufen Sie k nnen Browser Zertifikatd widerrufen die Sie direkt ber die Registrierungs Web Seite abgerufen haben Anmerku
73. gen eingesetzt werden und bieten eine M glichkeit zur Authentifizierung von Benutzern und zur Gew hrleistung einer gesicherten Kommunikation Tunnel In der VPN Technologie eine virtuelle Punkt zu Punkt Verbindung die auf Anfrage ber das Inter net hergestellt wird W hrend der Verbindung k nnen ferne Benutzer den Tunnel verwenden um sichere verschl sselte und gekapselte Informationen mit Ser vern im privaten Netz eines Unternehmens auszutau schen U Unbestreitbarkeit Die Verwendung eines digitalen privaten Schl ssels um zu verhindern da der Unter zeichner eines Dokuments dessen Unterzeichnung leugnet Unicode Ein 16 Bit Zeichensatz der in ISO 10646 definiert ist Der Unicodestandard f r die Verschl sse lung von Zeichen ist ein internationaler Zeichencode f r die Informationsverarbeitung Er umfa t die grund legenden weltweit verwendeten Prozeduren und bildet die Basis f r die Internationalisierung und Lokalisie rung von Software Der gesamte Quellencode in der Java Programmierungsumgebung wird in Unicode geschrieben Unternehmensproze objekte Eine Codegruppe die zur Ausf hrung einer bestimmten Registrierungsopera tion z B zum Pr fen des Registrierungsstatus oder zur Best tigung des Sendens eines ffentlichen Schl s sels verwendet wird Unternehmensproze schablone Eine Gruppe von Unternehmensproze objekten die in einer bestimmten Reihenfolge ausgef hrt werden Unterst tzung in
74. glicht das Anzeigen von Fehlernachrichten in der korrekten Sprache Trust Authority Benutzerhandbuch Bemerkungen Die vorliegenden Informationen wurden f r Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte Services oder Funktionen in ande ren L ndern nicht an Informationen ber die gegenw rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht da nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der IBM Produkte Programme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen ver wendet werden solange diese keine gewerblichen Schutzrechte der IBM verletzen Die Verantwortung f r den Betrieb der Produkte Programme und Dienstleistungen in Verbindung mit Fremdprodukten liegt beim Kunden soweit solche Verbindun gen nicht ausdr cklich von IBM best tigt sind F r in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanforderungen sind schrift lich an IBM Europe Director of Licensing 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf englis
75. gung um Ihr Unternehmen in die Lage zu versetzen die von ihm ausgestell ten Zertifikate anzupassen Diese zus tzlichen Felder werden Gesch ftsproze varia blen genannt Zertifikatsverarbeitungszyklus Wenn Sie ein Zertifikat anfordern leiten Sie einen Verarbeitungszyklus ein der sich ber die gesamte Laufzeit dieses Identit tsnachweises erstreckt Dieser Verarbeitungszyklus endet wenn das Zertifikat widerrufen wird oder abl uft Wenn ein Zertifikat erneuert wird wird ein neuer Datensatz in der erstellt Erneuerbarkeit Die Erneuerbarkeit ist eine der Eigenschaften eines Zertifikats die der Registrator f r Sie ber den RA Desktop ndern kann Wenn Ihr Zertifikat erneuerbar ist k nnen Sie ein neues Zertifikat beantragen w hrend das alte noch g ltig ist Der Besitz eines erneuerbaren Zertifikats ver einfacht den een und verringert den Registrierungsaufwand Wenn Sie ber ein erneuerbares Browser Zertifikat verf gen k nnen Sie dessen Erneuerung auf der Registrierungs Web Seite anfordern Wenn Sie ber ein erneuerbares Zertifikat f r den Zugriff auf eine PKIX kompatible Anwendung verf gen k nnen Sie dessen Erneuerung mit Hilfe der Client Anwendung anfordern 30 Trust Authority Benutzerhandbuch e Wenn Ihr Zertifikat nicht erneuerbar ist m ssen Sie warten bis es abl uft und sich dann erneut registrieren falls Sie weiterhin ein Zertifikat ben tigen Wenn Sie sich registrieren m ssen Sie all
76. handbuch Dialog Zertifikatserneuerung In diesem Dialog k nnen Sie f r jedes Zertifikat das innerhalb des von Ihrem Unternehmen vorgegebenen Intervalls demn chst ablaufen wird zusammenfas sende Informationen anzeigen Die Standardeinstellung ist 30 Tage Alle demn chst ablaufenden Zertifikate werden in der Tabelle in einer eigenen Zeile angezeigt Die Spalten liefern die folgenden Informationen Kennsatz Eine eindeutige Beschreibung f r das ausgestellte Zertifikat Seriennummer Die Seriennummer des Zertifikats Zweck Die haupts chliche Verwendung des Zertifikate Dieses Feld enth lt einen ertifikaistgp Im Abschnitt werden die f r eine Sisndancinatallaton unera Typen let Ablaufdatum Das letzte Datum an dem das Zertifikat noch g ltig ist Um eines oder mehrere dieser Zertifikate zu erneuern berpr fen Sie die zusam menfassenden w hlen Sie die gew nschten Zertifikate aus und klicken Sie auf OK Wenn Sie keine Auswahl treffen klicken Sie auf OK um den Dialog zu schlie en Zugeh rige Abschnitte Dialog Kennwort ndern In diesem Dialog k nnen Sie Ihr Kennwort f r eine virtuelle Smart Card ndern Anmerkung Um das Kennwort f r eine physische Smart Card zu ndern m ssen Sie die Software verwenden die mit der Smart Card geliefert wurde Aktuelles Kennwort Geben Sie das aktuelle Kennwort f r Ihre virtuelle Smart Card ein Neues Kennwort Geben Sie das gew nschte neue Kennwor
77. hl sselungsstufe erfordert einen gr eren Schl ssel und nimmt mehr Zeit in Anspruch um eine sichere Verbindung herzustellen Dateiname Geben Sie den Pfad und Dateinamen an unter dem das Zertifikat gespei chert werden soll wenn Sie es von der Smart Card exportieren ber den Knopf Anzeigen k nnen Sie einen Pfad ausw hlen bevor Sie den Datei namen eingeben Dateikennwort Sch tzen Sie die Datei durch Eingabe eines eigenen Kennworts Es kann zwischen 8 und 32 alphanumerische Zeichen A Z a z 0 9 enthalten Dialog Zertifikat importieren In diesem Dialog geben Sie die Informationen ein die erforderlich sind um ein Zertifikat aus einer Datei auf die ge ffnete Smart Card zu importieren Dateiname Geben Sie den Pfad und den Namen der Datei ein in der sich das Zertifi kat befindet ber den Knopf Anzeigen k nnen Sie den Pfad und Datei namen ausw hlen anstatt diese Angaben manuell einzugeben Dateikennwort Geben Sie das Kennwort zum Schutz der Datei ein Dialog Neues Zertifikat unter Verwendung einer Vorabregi strierungsdatei In diesem Dialog k nnen Sie sich f r ein Zertifikat registrieren lassen indem Sie eine Teer und ein Kennwort angeben die bzw das Sie vom Administrator der Sie vorab registriert hat erhalten haben Sie haben die Datei und das Kennwort entweder per E Mail oder auf Diskette erhalten Name der Vorabregistrierungsdatei Geben Sie den Pfad und den Namen der Vorabregistrierungsdatei ein
78. hre Meinung ge ndert haben Dateien unterzeichnen Sie k nnen ein Zertifikat verwenden um eine Datei zu unterzeichnen Wenn Sie eine Datei mit einer digitalen Unterschrift unterzeichnen kann jeder der die Datei ffnet erkennen ob der Inhalt der Datei seit der Unterzeichnung ge ndert wurde Es ist zu beachten da der Inhalt der Datei mit der digitalen Unterschrift nicht wird F hren Sie im Fenster die folgenden Aktionen aus 1 W hlen Sie das Zertifikat aus das Sie zur Unterzeichnung der Datei verwen den wollen Kapitel 3 Informationen zur Vorgehensweise 21 2 ffnen Sie das Men Zertifikat und klicken Sie auf Unterzeichnen Der Dialog zum Unterzeichnen einer Datei wird angezeigt 3 Geben Sie bei Eingabedateiname den Pfad und den Namen der Datei an die Sie unterzeichnen wollen Geben Sie dazu entweder den Pfad und den Datei namen ein oder klicken Sie auf Durchsuchen um den Pfad der Datei auszu w hlen 4 Geben Sie bei Ausgabedateiname einen Pfad und einen Namen f r die unter zeichnete Datei an Klicken Sie auf Durchsuchen um den Pfad und den Datei namen auszuw hlen anstatt diese Angaben manuell einzugeben 5 W hlen Sie bei Unterschriftsalgorithmus Hen Algorithmus aus den Sie ver wenden wollen um die Datei digital zu unterzeichnen Auf der Seite Ld wer den die verf gbaren Auswahlm glichkeiten beschrieben 6 Wenn Sie die Datei vor dem Unterzeichnen anzeigen wollen klicken Sie auf Anzeigen M
79. ht Im Abschnitt Demn 2 2 wird beschrieben was in diesem Fall zu tun ist ber den Client registrieren Bevor Sie ein Zertifikat ber die Client Anwendung anfordern k nnen m ssen Sie sich auf der von Trust Authority korah registrieren Ihr Registrator ein Benutzer mit Berechtigung zur Verwaltung von Registrierungsan forderungen wird Sie m glicherweise vorab registrieren Nachdem Sie die Vorabregistrierungsinformationen erhalten haben verwenden Sie die Client Anwendung um ein Zertifikat anzufordern Die Art der von Ihnen empfangenen Vorabregistrierungsinformationen legt fest welche Client Auen zu w hlen ist Fine ransaka Ti Registrierung unter Verwendung einer Vorabregistrierungsda tei F hren Sie im Fenster die folgenden Aktionen aus 1 ffnen Sie das Men Zertifikat und klicken Sie nacheinander auf Neu gt Ver wendung einer Worst a en Der Dialog Neu wird angezeigt Auf Seite lil wird ae Dialog Pearce 2 F llen Sie die Felder in diesem Dialog aus und klicken Sie auf Weiter Was als n chstes im Dialog angezeigt wird h ngt von den W nschen Ihres Unternehmens ab Es gibt folgende M glichkeiten Attribute und ihre Werte die Ihre Zertifikatsanforderung beschreiben Felder im unteren Bereich der Anzeige in denen Sie einige Attributwerte durch berschreiben ndern k nnen 3 Nehmen Sie gegebenenfalls die erforderlichen nderungen vor 4 Klicken Sie auf Weiter um die Anforde
80. ican National Standard Code for Infor mation Interchange ASN 1 Abstract Syntax Notation One Asymmetrische Verschl sselung Ein Verschl sse lungsverfahren das zur Ver und Entschl sselung unterschiedliche asymmetrische Schl ssel verwendet Jedem Benutzer wird hierbei ein Schl sselpaar zugeordnet das einen allgemeinen f r alle zug ngli chen Schl ssel und einen privaten Schl ssel umfa t der nur dem jeweiligen Benutzer bekannt ist Eine gesicherte Transaktion kann ausgef hrt werden wenn der ffentliche Schl ssel sowie der zugeh rige private Schl ssel bereinstimmen In diesem Fall kann die Transaktion entschl sselt werden Dieses Verfahren wird auch als Verschl sselung auf der Basis von Schl sselpaaren bezeichnet Gegensatz zu Symmetrische Verschl sselung Asynchrone bertragung Ein bertragungsmodus bei dem Sender und Empf nger nicht gleichzeitig vorhanden sein m ssen Authentifizierung Der Vorgang bei dem die Identit t eines Teilnehmers an einer bertragung zuverl ssig berpr ft wird Base64 Verschl sselung Ein h ufig verwendetes Verfahren bei der bertragung von Bin rdaten mit MIME Basic Encoding Rules BER Die Regeln die in ISO 8825 fiir die Verschliisselung von in ASN 1 beschriebe nen Dateneinheiten angegeben sind Die Regeln geben das Verschl sselungsverfahren jedoch nicht die abstrakte Syntax an 55 Benutzerauthentifizierung Der Proze mit dem berpr ft wird ob d
81. icht berechtigt sind H H chster CA Der CA der innerhalb der PKI CA Hierarchie die h chste Position einnimmt HTML Hypertext Markup Language HTTP Hypertext Transaction Protocol HTTP Server Ein Server der die Web gest tzte Kom munikation mit Browsern und anderen Programmen im Netz steuert Hypertext Textsegmente die einzelne oder mehrere W rter umfassen oder Bilder enthalten auf die der Leser mit der Maus klicken kann um ein anderes Dokument aufzurufen und anzuzeigen Diese Textseg mente werden als Hyperlinks bezeichnet Ruft der Leser diese anderen Dokumente auf stellt er zu diesen eine Hyperlink Verbindung her Hypertext Markup Language HTML Eine Formatie rungssprache f r das Codieren von Web Seiten HIML basiert auf SGML Standard Generalized Markup Lan guage Hypertext Transaction Protocol HTTP Ein Client Server Protokoll f r das Internet mit dem Hypertext Dateien im Web bertragen werden ICL Issued Certificate List Liste der ausgestellten Zertifikate Identit tsnachweis Vertrauliche Informationen die verwendet werden um beim Austausch von Daten w hrend der Authentifizierung die eigene Identit t zu belegen In Network Computing Umgebungen ist die am h ufigsten verwendete Form des Identit tsnach weises ein Zertifikat das von einem CA erstellt und unterzeichnet wurde IniEditor Bei Trust Authority ein Tool mit dem Konfi gurationsdateien editiert werden k nnen Integri
82. ie da das Installationsprogramm tempor re Dateien die es erstellt nach der Installation der Client Anwendung l scht Dar ber hinaus sind 60 MB freier Plattenspeicherplatz auf dem Festplattenlauf werk erforderlich auf dem die Client Anwendung installiert werden soll sowie 0 5 MB freier Plattenspeicherplatz auf dem Festplattenlaufwerk auf dem das Windows Betriebssystem installiert ist Um mit der Trust Authority Client Anwendung eine physische Smart Card zu verwenden ben tigen Sie eine von der betreffenden Smart Card unterst tzte Browser Version Beispiel IBM SecureWay Smart Card Security Kit kann mit folgenden Browsern verwendet werden Microsoft Internet Explorer Version 5 0 oder h her Netscape Navigator oder Netscape Communicator Version 4 6 oder h her 38 Trust Authority Benutzerhandbuch Client Anwendung Hauptfenster Alle Hauptfunktionen der Client Anwendung stehen im Fenster Trust Authority Emar Card zur Verf gung Menus im Fenster Smart Card Die folgenden Mentioption stehen im Fenster Smart Card zur Verfiigung Viele der Optionen erfordern da Sie zun chst ein Zertifikat aus den er den beiden unter dem Men ausw hlen Um ein Zertifikat auszuw hlen klicken Sie die entsprechende Zeile in der Tabelle an Men Smart Card ndern Sie das Kennwort der ge ffneten Smart Card Zeigen Sie die Eigenschaften der ge ffneten Smart Card an Schlie en Sie die Client Anwendung
83. ie anschlie end auf Weiter Anmerkung Wenn Sie bereits zuvor eine Trust Authority Komponente auf dieser Datenstation installiert haben wird die Software automa tisch im Unterverzeichnis TAClient an derselben Position instal liert Sie werden nicht aufgefordert eine Zielposition anzugeben Klicken Sie im Fenster f r die Auswahl des Programmordners auf Weiter wenn Sie den Standardprogrammordner IBM SecureWay Trust Authority verwenden wollen Ansonsten w hlen Sie den Namen des gew nschten Ord ners aus oder geben diesen ein und klicken anschlie end auf Weiter Geben Sie im Fenster zum ffnen der Smart Card ein Kennwort f r Ihre virtu elle Smart Card ein Geben Sie denselben Namen zur Best tigung erneut ein und klicken Sie anschlie end auf Weiter Sie m ssen dieses Kennwort das h chstens acht Zeichen enthalten darf beim Starten der Client Anwendung eingeben An dieser Stelle kopiert das System die entsprechenden Dateien in die angefor derte Installationsposition und f hrt entsprechende Programme aus um die Installation der Client Anwendung abzuschlie en Geben Sie im Fenster f r den Abschlu der Funktion Setup an ob Sie Windows jetzt oder zu einem sp teren Zeitpunkt erneut starten wollen und klicken Sie anschlie end auf Fertig Wenn Sie das System zu einem sp teren Zeitpunkt erneut starten wollen m ssen Sie dies vor Verwendung der Client Anwendung tun Nach Abschlu der Installation befindet sich Trust
84. ient Anwendung verwal ten 18 Verwaltung ber die Registrierungs Web Seite 11 zur Verwendung der Registrierungs services 5 29 zusammenfassende Informationen 22 Zertifikatsaussteller CA 3 28 Zertifikatserweiterungen 30 Zertifikatstypen 36 Zertifikatsverarbeitungszyklus 28 30 Zertifikatsverwaltung im Web 11 Anforderung f r Browser 6 Anforderung f r Server Einheit 7 erneuern 12 in den Wartestatus setzen 12 Vorabregistrierung 9 widerrufen 13 Zertifikatsverwaltung ber Client 18 Dateien unterzeichnen 21 Details anzeigen 19 erneuern 20 in den Wartestatus setzen 20 Liste anzeigen 22 ffnen 19 widerrufen 21 Zertifikatsverwaltung ber Client 18 Forts Zertifikat auf eine andere Smart Card verschieben 19 Zertifikatswiderrufsliste CRL 28 Zertifizierung 28 gegenseitige Zertifizierung 28 Hierarchie 28 Zugriffssteuerungsliste ACL 31 Zusammenfassende Informationen Zerti fikate 22 Index 71 72 Trust Authority Benutzerhandbuch Antwort IBM SecureWay Trust Authority Benutzerhandbuch Version 3 Release 1 2 IBM Form SH12 2978 01 Anregungen zur Verbesserung und Erg nzung dieser Ver ffentlichung nehmen wir gerne entgegen Bitte informie ren Sie uns ber Fehler ungenaue Darstellungen oder andere M ngel Zur Kl rung technischer Fragen sowie zu Lieferm glichkeiten und Preisen wenden Sie sich bitte entweder an Ihre IBM Gesch ftsstelle Ihren IBM Gesch ftspartner oder Ihren H ndler Unser
85. igenschaften anzeigen F hren Sie im Fenster die folgenden Aktionen aus 1 2 3 Offnen Sie das Menii Smart Card und klicken Sie auf Eigenschaften anzeigen Der Dialog Smart Card Eigenschaften wird angezeigt Auf Seite kdl wird dieser Dialog beschrieben Uberpriifen Sie im Dialog die Beschreibung der Smart Card Klicken Sie auf OK wenn Sie mit der Uberpriifung fertig sind Client Anwendung verlassen Um die Client Anwendung zu verlassen gehen Sie folgenderma en vor 1 2 Wenn ein Dialog ge ffnet ist beenden Sie den Dialog und klicken Sie auf OK oder klicken Sie auf Abbrechen ffnen Sie im Fenster das Men Smart Card und klicken Sie auf Beenden Client Anwendung deinstallieren Verwenden Sie folgende Prozedur wenn Sie die Trust Authority Client Anwendung von Ihrem System entfernen m ssen 1 2 3 Wahlen Sie Start gt Einstellungen gt Systemsteuerung aus Klicken Sie doppelt auf Software Wahlen Sie den Programmordner IBM SecureWay Trust Authority Client aus und klicken Sie auf Hinzufiigen Entfernen Wenn Sie aufgefordert werden zu best tigen da Sie das Programm l schen wollen klicken Sie auf Ja Wenn Sie eine Nachricht erhalten in der Ihnen mitgeteilt wird dafs bestimmte Ordner nicht gel scht werden klicken Sie auf Details Sie m ssen alle Ordner die im Detailfenster aufgelistet sind manuell l schen um die Client Anwendung vollst ndig von Ihrem System zu l schen
86. ikat in den Wartestatus setzen aus 7 Bei Datum ab dem das Zertifikat nicht mehr g ltig ist geben Sie an wann das Zertifikat in den Wartestatus gesetzt werden soll W hlen Sie entweder das aktuelle Datum oder ein Datum in der Vergangenheit aus 8 Klicken Sie auf Zertifikat widerrufen Anmerkung Sofern das Zertifikat nicht abl uft w hrend es sich auf der Zertifi CRL befindet k nnen Sie es sp ter erneut akti vieren lassen Ein Zertifikat erneuern Sie k nnen erneuern die Sie direkt ber die Registrierungs Web Seite abgerufen haben Anmerkung Wenn Sie Ihr Zertifikat heruntergeladen haben als die Client Anwendung aktiv war m ssen Sie diese Anwendung verwenden um das Zertifikat zu erneuern Um ein Zertifikat zu erneuern gehen Sie folgenderma en vor 1 Nehmen Sie Zugriff auf die Registrierungs Web Seite 2 W hlen Sie ber Registrierungsart die Option Browser Zertifikat aus 3 W hlen Sie ber Aktion die Option Erneuern aus 4 Klicken Sie auf OK Ein Erneuerungsformular wird angezeigt 5 berpr fen Sie das Formular um sicherzustellen da dies auch tats chlich das Zertifikat ist das Sie erneuern wollen 6 ndern Sie gegebenenfalls die Werte in den editierbaren Eeldernl Im Abschnitt ara 2 werden die Felder een 12 Trust Authority Benutzerhandbuch 7 8 E Mail Adresse Um E Mail Benachrichtigung ausw hlen zu k nnen m ssen Sie Ihre E Mail Adresse angeben E Mail Benachrichtigun
87. ilfe des RSA Verschl sselungssystems auf der Basis ffentlicher Schl ssel Er dient zur Erstellung digitaler Unter schriften und Briefumschl ge e PKCS 7 definiert ein allgemeines Format f r ver schl sselte Nachrichten e PKCS 10 definiert eine Standardsyntax f r Zertifi zierungsanforderungen 62 Trust Authority Benutzerhandbuch e PKCS 11 definiert eine Programmierschnittstelle f r Verschl sselungseinheiten z B Smart Cards die unabh ngig vom verwendeten technologischen Kon zept ist e PKCS 12 definiert ein portierbares Format zum Speichern oder Transportieren der privaten Schl ssel Zertifikate und sonstiger geheimer Daten etc eines Benutzers Public Key Infrastructure PKI Ein Standard f r Sicherheitssoftware der auf der Verschliisselung mit Hilfe ffentlicher Schl ssel basiert Bei PKI handelt es sich um ein System digitaler Zertifikate Zertifikatsaus steller Registrierungsstellen Zertifikatverwaltungsser vices und verteilter Verzeichnisservices Er dient zum Pr fen der Identit t und Berechtigung aller Parteien die an Transaktionen beteiligt sind die ber das Inter net ausgef hrt werden Diese Transaktionen umfassen m glicherweise Operationen zu deren Ausf hrung eine Identit tspr fung erforderlich ist Sie dienen z B zur Best tigung des Ursprungs von Senderechtan forderungen E Mail Nachrichten oder Finanztransak tionen PKI erreicht dieses Ziel dadurch da ffentliche Chif
88. ill IBM Secure Way Trust Authority Benutzerhandbuch Version 3 Release 1 2 SH12 2978 01 IBM Secure Way Trust Authority Benutzerhandbuch Version 3 Release 1 2 SH12 2978 01 M Anmerkung Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die allgemeinen Informationen unter A gelesen werden Zweite Ausgabe Juni 2000 Diese Ver ffentlichung ist eine bersetzung des Handbuchs IBM SecureWay Trust Authority User s Guide IBM Form SH09 4531 01 herausgegeben von International Business Machines Corporation USA Copyright International Business Machines Corporation 2000 Copyright IBM Deutschland Informationssysteme GmbH 2000 Informationen die nur f r bestimmte L nder G ltigkeit haben und f r Deutschland sterreich und die Schweiz nicht zutreffen wurden in dieser Ver ffentlichung im Originaltext bernommen M glicherweise sind nicht alle in dieser bersetzung aufgef hrten Produkte in Deutschland angek ndigt und verf gbar vor Entscheidungen empfiehlt sich der Kontakt mit der zust ndigen IBM Gesch ftsstelle nderung des Textes bleibt vorbehalten Herausgegeben von SW NLS Center Kst 2877 Juni 2000 Inhaltsverzeichnis Kapitel 1 Produktinformationen zu Trust Authority 1 Kapitel 2 bersicht 3 Kapitel 3 Informationen zur ean weise ind Zugriff auf die Resistnierumgs Web Seite F 29 Registrierung ber einen Browser 5 Ein
89. ine Person vorab registrieren Sie k nnen die Registrierungsservices verwenden um sich selbst oder eine andere Person vorab f r ein Zertifikat zu registrieren mit dem auf eine PKIX kompatible Anwendung zugegriffen werden kann Das Zertifikat kann zu einem sp teren Zeitpunkt heruntergeladen werden w hrend die Trust Authority Client Anwendung verwendet wird Um eine Person ber den Web Browser vorab zu registrieren gehen Sie folgender ma en vor 1 2 3 4 Nehmen Sie tiber Ihren Browser Zueritd auf die Registrierungs Web Seite ffnen Sie ber Registrierungsart die die Liste und w hlen Sie Vorabregistrie rung von Zertifikaten aus W hlen Sie ber Aktion die Option Registrieren aus Klicken Sie auf OK Das angeforderte Registrierungsformular wird angezeigt Befolgen Sie die Anweisungen auf der Web Seite um die Felde des Formulars auszuf llen Im Abschnitt werden die Felder een Das Formular enth lt die genden Abschnitte Einen Abschnitt f r die Registrierungsinformationen mit Textfenstern in die Sie die Informationen ber die Person eingeben die Sie vorab registrieren wollen An dieser Stelle geben Sie auch einige Informationen ein anhand deren Sie den Status Ihrer Anforderung berpr fen k nnen e Einen Abschnitt f r die Zertifikatsanforderungsinformationen mit Text fenstern in die Sie die Informationen ber das gew nschte Zertifikat einge ben Wenn Sie in die Kanneingabefelder des jewei
90. ine Speicherfehlernachricht Die Client Anwendung aufrufen 16 Mit der Client Anwendung k nnen Sie ein Zertifikat anfordern und dann auf Ihrer virtuellen oder physlechen bins card speichern nachdem Sie von jemandem vorab registriert wurden Sie k nnen die Client Anwendung auch dazu verwen den die Zertifikate auf Ihren Smart Cards und die Smart Cards selber zu verwal ten Alle diese Zertifikate sind f r den Zugriff auf PKIX kompatible Anwendungen geeignet Um die Client Anwendung aufzurufen gehen Sie folgenderma en vor 1 Wenn Sie Ihre physische Smart Card verwenden wollen legen Sie diese ein 2 W hlen Sie in der Task Leiste von Windows nacheinander Start gt Programme gt IBM SecureWay Trust Authority gt Trust Authority Client aus 3 Klicken Sie in der Eingangsanzeige auf OK ard ffnen wird angezeigt Er enth lt eine Liste Ihrer Smart Ca die f r die Client Anwendung definiert sind Auf Seite kA wird dieser Dialog beschrieben 4 W hlen Sie ber Smart Card die Smart Card aus die Sie ffnen wollen Trust Authority Benutzerhandbuch 5 Bei Kennwort geben Sie Ihr Kennwort f r die ausgew hlte Smart Card ein 6 Klicken Sie auf OK Das Fenster wird angezeigt Auf Seite Bo wird dieses Fenster beschrieben Anmerkung Liegen Zertifikate vor die demn chst ablaufen zeigt die Client Anwendung Ihnen diese Zertifikate an damit Sie entscheiden k nnen ob Sie die Zertifikate Ermeuern wollen oder nic
91. ingungen der IBM der Internationalen Nutzungsbedingungen der IBM f r Programmpakete oder einer quivalenten Vereinbarung Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer gesteuer ten Umgebung Die Ergebnisse die in anderen Betriebsumgebungen erzielt wer den k nnen daher erheblich von den hier erzielten Ergebnissen abweichen Einige Daten stammen m glicherweise von Systemen deren Entwicklung noch nicht abgeschlossen ist Eine Garantie da diese Daten auch in allgemein verf gbaren Systemen erzielt werden kann nicht gegeben werden Dar ber hinaus wurden einige Daten unter Umst nden durch Extrapolation berechnet Die tats chlichen Ergebnisse k nnen abweichen Benutzer dieses Dokuments sollten die entsprechen den Daten in ihrer spezifischen Umgebung pr fen Diese Daten stellen deshalb keine Leistungsgarantie dar Informationen ber Produkte anderer Hersteller als IBM wurden von den Herstel lern dieser Produkte zur Verf gung gestellt bzw aus von ihnen ver ffentlichten Ank ndigungen oder anderen ffentlich zug nglichen Quellen entnommen IBM hat diese Produkte nicht getestet und bernimmt im Hinblick auf Produkte ande rer Hersteller keine Verantwortung f r einwandfreie Funktion Kompatibilit t oder andere Anspr che Fragen hinsichtlich des Leistungsspektrums von Produkten anderer Hersteller als IBM sind an den jeweiligen Hersteller des Produkts zu rich ten Die oben genannten Erkl rungen bez glich de
92. it dieser Aktion wird die Anwendung aufgerufen die dem Datei typ der unterzeichneten Datei zugeordnet ist Wenn Sie beispielsweise eine HTML Datei unterzeichnen ruft die Anwendung Ihren Standard Browser auf um die Datei anzuzeigen 7 Klicken Sie auf OK um die Datei zu unterzeichnen oder klicken Sie auf Abbrechen wenn Sie Ihre Meinung ge ndert haben Mit einer Zertifikatliste arbeiten Im Fenster zeigen die Registerkartenl die Zertifikate nach Kategorien an Um eine Liste Ihrer eigenen Zertifikate anzuzeigen klicken Sie auf die Register karte Meine Zertifikate e Um die Liste der anderen Zertifikate auf derselben Emart Card anzuzeigen klicken Sie auf die Registerkarte Andere Zertifikate Sofern Sie die Smart Card nicht mit jemandem gemeinsam benutzen sind keine anderen Zertifikate vor handen In einer Labelled werden die Basisinformationen zu jedem Zertifikat angezeigt e Bl ttern Sie gegebenenfalls durch die Spalten oder ndern alle Informationen anzuzeigen e Wahlen Sie gegebenenfalls ein Zertifikat aus Zwischen Registerkarten wechseln Im Fenster ist die gerade angezeigte heller dargestellt als die andere Um von einer Registerkarte zur anderen zu wechseln klicken Sie einfach die jeweils andere Registerkarte an Mehr Zeilen in einer Tabelle anzeigen Um mehr Zeilen in einer Tabelle eines Fensters der Client Anwendung oder des Dialogs Zertifikatserneuerung anzuzeigen f hren Sie eine der fo
93. k nnen dieses Zertifikat abrufen wenn Sie die Web Seiten von Trust Authority zur Regi strierung das erste Mal besuchen Wann immer Sie danach ein Zertifikat von den Registrierungsservices anfordern k nnen Sie ein entsprechendes CA Zertifikat her unterladen das mit dem angeforderten Zertifikat kompatibel ist Beispiel Wenn Sie ein zweij hriges SSL Browser Zertifikatl anfordern k nnen Sie ein CA Zertifikat herunterladen das mit diesem Zertifikat kompatibel ist Anmerkung Fr here Releases von Netscape konnten ein Site Zertifikat akzeptie ren das von einem Trust Authority Server vorgelegt wurde Dieses Zertifikat war f r Kommunikationen mit dem Server akzeptabel die entweder von der Server Seite oder von der Client Seite authentifi ziert wurden Das neueste Release von Netscape erfordert f r Sitzun gen die von der Client Seite authentifiziert wurden nun jedoch ein CA Zertifikat Server und Einheitenzertifikate Wenn dies im Rahmen Ihrer a Be ist a Sie ein Zertifikat f r formular das ber Ihren Web DORES zur ee zestellt wir Der Server oder die Einheit f r den bzw die Sie ein Zertifikat anfordern mu das Anforderungsformat PKCS 10 verwenden Zertifikatserweiterungen Zertifikatserweiterungen sind wahlfreie Elemente im Format eines k 509v3 Zertifikats Die Erweiterungen erm glichen es dem Zertifikat weitere Felder hinzu zuf gen Trust Authority stellt eine Gruppe von Zertifikatserweiterungen zur Verf
94. keitszertifikat 1 Jahr und 2 Jahre Dieses Zertifikat stellt die Funktionen f r Nachrichtenverschl sselung und digitale Unterschriften zur Verf gung um die Unbestreitbarkeit des Nach richtenabsenders bzw die Unbestreitbarkeit der Nachrichtenzustellung zu gew hrleisten Zertifikat f r Unterschrift ausschlie lich 1 Jahr und 2 Jahre Mit diesem Zertifikat kann der Inhaber Dateien digital unterzeichnen Das Zertifikat ist nicht f r andere Zwecke gedacht Web Client Authentifizierungszertifikat 1 Jahr und 2 Jahre Mit diesem Zertifikat kann ein Web Browser an einer vom Client authenti fizierten SSL Sitzung teilnehmen Der Benutzer des Browsers kann mit diesem Zertifikat auf eine spezifische gesicherte Web Site zugreifen Das Zertifikat stellt die Funktionen f r digitale Unterschriften Unbestreitbarkeit und Schl sselcodierung zur Verf gung Es wird normalerweise vom End benutzer gew hlt Trust Authority Benutzerhandbuch Web Server Authentifizierungszertifikat 1 Jahr und 2 Jahre Mit diesem Zertifikat kann ein Server an einer vom Server authentifizierten SSL Sitzung teilnehmen Das Zertifikat stellt die Funktionen f r digitale Unterschriften und Schl sselcodierung zur Verf gung Registrierte Personen oder Personen die jemand anderen orab waist nen einen geeigneten Zertifikatstyp anfordern Die ve werden in den Registrierungsformularen im Feld Zertifikatstyp saipclistet In der Client Anwendung werden die Zertifikatstypen
95. leichen CA zertifiziert wurden Benutzer die tiber ein von einem CA unterzeichnetes Zertifikat verfiigen k nnen der Identit t eines anderen Benutzers ver trauen der ein Zertifikat besitzt das vom selben CA unterzeichnet worden ist Sicherungsmodell Eine Organisationskonvention die regelt wie Zertifikatsaussteller CAs andere Zertifi katsaussteller zertifizieren k nnen Simple Mail Transfer Protocol SMTP Ein Protokoll mit dem elektronische Post ber das Internet bertra gen wird Site Zertifikat Dieser Zertifikatstyp ist mit einem CA Zertifikat vergleichbar gilt jedoch nur f r eine bestimmte Website Siehe auch CA Zertifikat Smart Card Eine Hardwarekomponente normaler weise in der Gr e einer Kreditkarte auf der die digi talen Schl ssel eines Benutzers gespeichert werden k nnen Eine Smart Card kann kennwortgesch tzt werden SMTP Simple Mail Transfer Protocol SSL Secure Sockets Layer Standard Generalized Markup Language SGML Ein Standard zur Beschreibung von Formatierungsspra chen HTML basiert auf SGML Symmetrische Verschliisselung Eine Form der Ver schliisselung bei der sowohl fiir die Ver als auch fiir die Entschl sselung derselbe Schl ssel verwendet wird Die Sicherheit dieses Verfahren basiert auf dem Schl s sel Wird dieser ffentlich bekanntgegeben k nnen die mit ihm bearbeiteten Nachrichten von jedem Benutzer ver und entschl sselt werden Der Inhalt der ber tragenen
96. lgenden Aktionen aus e Bl ttern Sie durch die Tabelle um weitere Zeilen zu sehen e Vergr ern Sie das Fenster oder den Dialog um einen gr eren Ausschnitt der Tabelle anzuzeigen 22 Trust Authority Benutzerhandbuch Die Gr e einer Tabellenspalte ndern Um die Gr e einer Tabellenspalte zu ndern gehen Sie folgenderma en vor 1 3 Verschieben Sie den Cursor auf die Begrenzung der Spalte deren Gr e Sie ndern wollen Klicken Sie mit der Maustaste halten Sie die Taste gedr ckt und ziehen Sie die Maus nach rechts oder links um die Spaltenbreite zu ndern Lassen Sie die Maustaste los sobald die Spalte die gew nschte Breite hat Verwaltung von Smart Cards unter Verwendung des Client In diesem Abschnitt werden die ea Tasks im Zusammenhang mit der Verwendung und Verwaltung von erl utert Eine andere Smart Card ffnen Sie k nnen eine Emart Card immer dann ffnen wenn Sie die Client Anwendung aufrufen Die Standard Smart Card ist eine virtuelle Smart Card Wenn Sie auch ber eine physische Smart Card verf gen kann Ihr Administrator diese Karte f r die Client Anwendung definieren Um mit einer anderen Smart Card zu arbeiten als derjenigen die Sie zum jeweili gen Zeitpunkt angegeben haben gehen Sie folgenderma en vor 1 Verlassen Sie die Client Anwendung 2 Wenn Sie Ihre physische Smart Card verwenden wollen legen Sie diese ein 3 4 Klicken Sie in der Eingangsanzeige
97. ligen Abschnitts keine Werte eintragen setzt Trust Authority Standardwerte ein die dem von Ihnen angeforderten Zertifikatstyp zugeordnet sind Bitte achten Sie insbesondere auf die folgenden Felder Zertifikatstyp Wahlen Sie den Zertifikatstypl aus den die Person die Sie vorab regi strieren ben tigt Im Abschnitt Verfiighare katstypen a werden die Zertifikatstypen ee E Mail Adresse Um E Mail Benachrichtigung ausw hlen zu k nnen m ssen Sie Ihre eigene E Mail Adresse angeben Kapitel 3 Informationen zur Vorgehensweise 9 10 E Mail Benachrichtigung W hlen Sie dieses Feld aus wenn Sie per E Mail ber das Ergebnis Ihrer Anforderung benachrichtigt werden wollen Identifikationspr fungsantwort Stellen Sie sicher da Sie die von Ihnen angegebene Identifikations pr fungsantwort von Gro Kleinschreibung abh ngig nicht verges sen Sie ben tigen die Antwort sp ter um den Status der Registrie rungsanforderung berpr fen zu k nnen Allgemeiner Name Das Feld Allgemeiner Name enth lt bereits Informationen die Sie f r Vorname und Nachname angeben Wenn Sie die Eintr ge f r den Vor bzw Nachnamen zu einem sp teren Zeitpunkt ndern werden diese nderungen m glicherweise nicht automatisch f r den allgemeinen Namen bernommen Ist dies der Fall m ssen Sie das Feld Allgemei ner Name mit dem ge nderten Vornamen und Nachnamen aktualisie ren bevor Sie das Registrierungsformular bergeben Dom
98. log w hlen Sie aus einer Liste die Kmart Card aus die Sie zusammen mit der Client Anwendung verwenden wollen Smart Card Wahlen Sie eine Smart Card aus der Liste aus Kennwort Geben Sie das Kennwort f r die ausgew hlte Smart Card ein 44 Trust Authority Benutzerhandbuch Dialog Zertifikat erneuern In diesem Dialog k nnen Sie zusammenfassende Informationen zu einem Zertifikat anzeigen um zu berpr fen ob Sie dieses Zertifikat tats chlich erneuern wollen Wenn Sie sich entschlie en das Zertifikat zu erneuern dann hat das neue Zertifi kat dieselbe G ltigkeitsdauer wie das alte Sie k nnen entweder das Schl sselpaar des alten Zertifikats verwenden oder ein neues Schl sselpaar generieren Um das Zertifikat zu erneuern geben Sie folgende Informationen ein URL der RA Wenn das Feld noch keinen Wert enth lt w hlen Sie entweder die URL der RA aus die die urspr ngliche Zertifikatchnforderung genehmigt hat oder geben Sie die URL in das Textfenster ein Wenn Sie die URL nicht kennen setzen Sie sich mit dem Administrator der Registrierungsdom ne in Verbindung Schl sselalgorithmus Wenn Sie das Schl sselpaar des ablaufenden Zertifikats verwenden wollen ignorieren Sie dieses Feld Um ein neues Schl sselpaar zu generieren w hlen Sie einen Wert aus Die Werte auf der Liste sind f r Ihre Maschine geeignet Dies ist der Verschl sselungsalgorithmus f r den privaten Schl ssel der diesem Zertifikat zugeordnet
99. lt werden Vorname Geben Sie in dieses Feld Ihren Vornamen ein Die Angabe eines zweiten Vornamens oder dessen Anfangsbuchstabens steht Ihnen frei Bei einer Vorabregistrierung beziehen sich diese Angaben auf die Person die Sich ee Nachname Geben Sie in dieses Feld Ihren Nachnamen oder Familiennamen ein Bei einer Vorabregistrierung beziehen sich diese Angaben auf die Person die Sie vorab registrieren E Mail Adresse Geben Sie in dieses Feld Ihre E Mail Adresse ein einschlie lich des kom merziellen A und aller Punkte F r einige Zertifikatstypen beispiels weise Zertifikate f r sichere E Mails ist diese Adresse erforderlich Um E Mail Benachrichtigung ausw hlen zu k nnen m ssen Sie eine E Mail Adresse angeben E Mail Benachrichtigung W hlen Sie diese Option aus um per E Mail vom Ergebnis der vorliegen den Registrierungsanforderung benachrichtigt zu werden Anmerkung Wenn der RA Server auf einer Windows NT Plattform in Ihrem Unternehmen installiert ist mu die Konfigurationsda tei raconfig cfg der Registrierungsfunktion m glicherweise aktualisiert werden damit sie auf einen SMTP Host verweist um diese Funktion zu aktivieren Das Handbuch Trust Autho rity Anpassung enth lt weitere Informationen hierzu 33 Identifikationspr fungsfrage Dies ist eine Frage deren Antwort nur Sie kennen und die verwendet werden kann um Ihre Identit t zu berpr fen bzw um zu verhindern da sich jemand anderes
100. lung oder Softwareentwicklung Adresse Dies ist die Adresse Stra e Hausnummer Ihres Unternehmens Ort Dies ist die Stadt in der Ihr Unternehmen ans ssig ist beispielsweise Chicago oder Berlin Bundesland Dies ist das Bundesland in dem Ihr Unternehmen ans ssig ist Ob Sie den vollst ndigen Namen des Bundeslandes schreiben oder eine offizielle Abk rzung verwenden h ngt von Ihren Registrierungsregeln ab Land Dies ist das Land in dem Ihr Unternehmen ans ssig ist W hlen Sie einen Wert aus Dom nenname Der Host Name der Maschine auf der ein Zertifikat installiert wird F r Server Zertifikate und Endbenutzerzertifikate Browser Zertifikate und Zertifikate die ber die Vorabregistrierung f r die Trust Authority Client Anwendung abgerufen werden ist dieses Feld wahlfrei Wenn Sie dieses Feld integrieren wollen m ssen Sie die Maschine identifizieren auf der Kapitel 5 Referenzinformationen 35 der Browser der Client oder der Web Server installiert ist F r IPSec Zertifikate m ssen Sie die IPSec Einheit identifizieren auf der das Zertifi kat installiert wird Verf gbare Zertifikatstypen 36 Ein Trust Authority System stellt mehrere Zertifikatstypen f r die unterst tzten Zertifikatskategorien und protokolle zur Verf gung Zu den Abwandlungen geh ren verschiedene G ltigkeitszeitr ume Der Name des Zertifikats zeigt an wie lange es g ltig ist und wof r der Schl ssel haupts chlich verwendet
101. n Berver oder Einheit anfordern Sich selbst oder jemand anderen f r ein Zertifikat korab registrieren das den Zugriff auf PKIX kompatible Anwendungen erm glicht Sp ter kann die betreffende Person das Zertifikat herunterladen indem sie der Trust Authority Client Anwendung auf ihrer Datenstation die entsprechenden Informationen zur Verf gung stellt Die Daten aus den Registrierungsformularen werden in Datenbanks tzenl gespei chert die von den Registratoren der Registrierungsstelle RA auf dem Desktop der Registrierungsstelle RA Desktop von Trust Authority angezeigt werden k nnen Vorabregistrierung Trust Authority erm glicht es Programmen oder Administratoren zuk nftige Benutzer vorab zu registrieren Wenn Sie andere Personen f r Zertifikate vorab registrieren wollen befolgen Sie die Anweisungen des folgenden Szenarios Sie ben tigen Informationen zu der Person die Sie vorab registrieren wollen Entweder fragen Sie die betreffende Person selbst oder Sie ziehen Aufzeichnun gen des Unternehmens heran wie beispielsweise Informationen aus einer Daten bank Sie greifen ber Ihren Web Browser auf die Registrierungsseite zu Es gibt ein eigenes f r die Vorabregistrierung Sie f llen das Formular mit den Informationen aus die jeweils auf die Person und den Zertifikatstyp zutreffen Anschlie end bergeben Sie das Formular Sie berpr fen den Status der Anforderung Wenn die Vorabregistrierungsanford
102. n Es handelt sich normalerweise um pr zise Werte wie beispielsweise die Mindestanzahl der an einem Wohnort verbrachten Jahre Mit Trust Authority kann Ihr Unternehmen einem solchen Programm die entsprechenden Informationen zu den Unternehmensregeln zur Verf gung stellen Das Programm verwendet diese Informationen dann bei der Auswertung 26 Trust Authority Benutzerhandbuch Registrierungsstellen RAs Bei Trust Authority handelt es sich bei den RAs um eine Server Anwendung Sie f hrt einige der Verwaltungs Tasks aus die f r die Registrierung von Benutzern erforderlich sind Dazu geh rt unter anderem folgendes Die Identit t eines Benutzers best tigen e berpr fen ob der Absender der Anforderung Anspruch auf ein Zertifikatl mit den angeforderten Attributen und Berechtigungen hat Anforderungen genehmigen oder zur ckweisen um Zertifikate zu erstellen bzw zu widerrufen e berpr fen ob eine Person die versucht auf eine gesicherte Anwendung zuzu greifen ber den privaten Schl ssel verf gt der dem ffentlichen Schl ssel im Zertifikat zugeordnet ist Registrierungsdatenbanken Eine Trust Authority Registrierungsdatenbank speichert Registrierungss tzel Bei der Registrierungsdatenbank handelt es sich um eine relationale Datenbank die mit IBM DB2 Universal Database erstellt wurde Die S tze werden von Trust Aut hority verschl sselt ber den RA Desktop kann ein authorisierter Registrator jedoch die meist
103. n diese Anforderung nach der bergabe abzubrechen gibt der Browser eine Fehlernachricht mit dem Inhalt Dokument enth lt keine Daten zur ck Des weiteren kann der Browser die Registrierungs Web Seite nicht erneut anzeigen Dieser Fehler kann auftreten wenn der Browser die Anforderung an den RA Server weiterleitet bevor er Sie zur Vorlage eines Zertifikats f r die Authentifi zierung auffordert Wenn das Zertifikat nicht zusammen mit der Anforderung bergeben wird wird ein Fehler zur ckgegeben Dies stellt die normale Browser Funktionsweise dar In dieser Situation kann der Browser nicht identifizieren welches Zertifikat abgebrochen werden soll nachdem der Knopf Abbrechen ange klickt wurde Mit mehreren Zertifikaten arbeiten Wenn Sie eine Anforderung bergeben um ein Zertifikat zu erneuern zu wieder rufen oder in den Wartestatus zu setzen und anschlie end die Registrierungs Web Seite erneut aufrufen um mit einem anderen Zertifikat zu arbeiten so ist dies erst dann m glich wenn Sie den Browser beendet und erneut gestartet haben Dies stellt die normale Browser Funktionsweise dar Sie m ssen das aktuelle Zertifikat zun chst aus dem Browser Cache l schen bevor Sie versuchen ein weiteres Zerti fikat zu bearbeiten Ebenso kann ein Zertifikat nachdem es heruntergeladen wurde nicht in derselben Browser Sitzung erneuert oder widerrufen werden Sie m ssen den Browser been den bevor Sie versuchen ein neu installiertes
104. n Ihres Unternehmens zuzugreifen Verzeichnisse Als Verzeichnis zur Speicherung von Zertifikaten verwendet Trust Authority das IBM SecureWay Directory Dieses Directory kann ein Verzeichnis sein das Ihr Unternehmen speziell zur Verwendung mit Trust Authority definiert hat Es kann sich auch um ein Verzeichnis handeln das Sie zuvor installiert haben und mit anderen Anwendungen verwenden 28 Trust Authority Benutzerhandbuch F r den Zugriff auf das Directory verwendet Trust Authority das Lishtweishil LDAP ein Direktzugriffsprotokoll mit reduziertem Funktionsumfang Registrierter Name Der kegistrierte Namel E er ae Name ist ein Element des Directory Eintrags fiir ein digitales Er identifiziert eindeutig die Position eines Eintrags in der hierarchischen Struktur des Directory Zertifikate Ein Zertifikat ist ein digitaler Identit tsnachweis der von einem KA unterzeichnet ist der f r die Identit t des Zertifikatsinhabers garantiert Der Inhaber kann das Zertifikat zur verwenden wenn er mit anderen kommuniziert oder wenn er den Zugriff auf eine gesicherte Anwendung anfordert Bei Trust Authority m ssen selbst Server Anwendungen und Einheiten wie Drucker und Smart Cards ber Zertifikate verf gen um sich gegen ber von Benutzern und gegenseitig zu authentifizieren Trust Authority unterst tzt X 509vJ Zertifikate in den folgenden Kategorien e Berver Zertifikatd e Einheitenzertifikate e Zertifikate f r den Zugriff
105. n des IBM WebSphere Application Server und des IBM HTTP Web Server IBM Server Sie sind nicht berechtigt die IBM Ser ver zu anderen Zwecken als in Verbindung mit der lizenzgerechten Verwendung des Programms zu benutzen Die IBM Server m ssen auf derselben Maschine wie das Programm installiert sein Sie sind nicht berechtigt sie unabh ngig vom Pro gramm zu installieren und zu verwenden Java und alle auf Java basierenden Marken und Logos sind in gewissen L ndern Marken der Sun Microsystems Inc Microsoft Windows Windows NT und das Windows Logo sind in gewissen L n dern Marken der Microsoft Corporation UNIX ist eine eingetragene Marke und wird ausschlie lich von der X Open Com pany Limited lizenziert Pentium ist in gewissen L ndern eine Marke der Intel Corporation CG E N UINE aE Dieses Programm enth lt Sicherheitssoftware von RSA Data Security Inc Copyright 1994 RSA Data Security Inc Alle Rechte vorbehalten Dieses Programm enth lt STL Software STL Standard Template Library von Hewlett Packard Company Copyright c 1994 Die Berechtigung zum Verwenden Kopieren ndern Verteilen und Verkaufen dieser Software sowie der zugeh rigen Dokumentation f r die gew nschten Zwecke wird hiermit geb hrenfrei erteilt Voraussetzung hierf r ist allerdings da der o a Copyrightvermerk auf allen Kopien erscheint und da sowohl dieser Copyrightvermerk als auch dieser Berechtigungshinweis in der zugeh
106. nen 45 e Das Zertifikat wurde ersetzt Der urspr ngliche Verwendungszweck des Zertifikats ist nicht mehr g ltig e Zertifikat in den Wartestatus setzen e Das Zertifikat wird nicht mehr verwendet Im Abschnitt g g diese Begr ndungen definiert Dialog Datei unterzeichnen In diesem Dialog k nnen Sie ein Zertifikat verwenden um eine Datei zu unter zeichnen Wenn Sie eine Datei mit einer digitalen Unterschrift unterzeichnen kann jeder der die Datei ffnet erkennen ob der Inhalt der Datei seit der Unter zeichnung ge ndert wurde Eingabedatei Geben Sie den Pfad und den Namen der Datei an die Sie unterzeichnen wollen ber den Knopf Durchsuchen k nnen Sie den Pfad und Datei namen ausw hlen anstatt diese Angaben manuell einzugeben Ausgabedatei Geben Sie den Pfad und den Namen f r die Datei nach deren Unter zeichnung an ber den Knopf Durchsuchen k nnen Sie den Pfad und Dateinamen ausw hlen anstatt diese Angaben manuell einzugeben Unterschriftsalgorithmus W hlen Sie den Algorithmus aus den Sie zur Unterzeichnung der Datei verwenden wollen SHA1 With RSA Generiert eine Unterschrift indem ein sicherer Hash Algorithmus SHA 1 auf die im RSA Standard Rivest Shamir und Adleman definierte Unterschriftenberechnung angewandt wird Mit RSA erfolgt die berpr fung der Unterschrift relativ schnell Allerdings dauert die Erstellung der Unterschrift unter Umst nden l nger als bei anderen Algorithmen
107. nforderungsstatus berpr fen 10 CA Zertifikat 29 Felder des Registrierungsformu lars 33 Registrierungsarten 25 Szenario f r die Vorabregistrie rung 25 URL 5 Zugriff 5 Registrierungsanforderung 3 auswerten 26 automatisierte Auswertung 26 Bearbeitung durch RA 3 Registrierungsdatenbanksatz 28 Registrierungsdom ne 27 Registrierungsformular 25 ber Client Anwendung 17 ber die Registrierungs Web Seite 5 Verarbeitungszyklus 28 Vorabregistrierung 25 Web Browser Unterst tzung 26 Registrierungsbeschr nkungen 33 Registrierungsdatenbanks tze 3 27 28 Attribute 28 Bearbeitung durch RA 3 Registrierungsdom ne 27 Registrierungsformularfelder 33 Registrierungsstelle 3 27 S Schl ssel besch digt 37 Server Zertifikat 7 30 70 Trust Authority Benutzerhandbuch SHA1 With RSA Algorithmus 46 Smart Card 16 17 31 Eigenschaften 24 Eigenschaften anzeigen 24 eine andere verwenden 18 eine physische Karte aktivieren 15 Kennwort 23 Kennwort ndern 23 ffnen 23 physische Karte 23 31 Verwaltung 23 virtuelle Karte 16 23 31 Zertifikat auf eine andere verschie ben 19 Zertifikat exportieren 18 Zertifikat importieren 19 Smart Card Fenster Dialoge 40 Hilfefunktion 47 mehr Zeilen in einer Tabelle anzei gen 22 Men s 39 Registerkarten 22 40 Spaltengr e ndern 23 Tabellen 40 zwischen Registerkarten wechseln 22 Systemvoraussetzungen Browser Registrierung 38 Client Anwendung 38 7 Tabelle mehr Zeilen anzeigen 22
108. ng Wenn Sie Ihr Zertifikat heruntergeladen haben als die Client Anwendung aktiv war m ssen Sie diese Anwendung verwenden um das Zertifikat zu widerrufen Um ein Zertifikat zu widerrufen gehen Sie folgenderma en vor 1 Nehmen Sie Zugriff auf die Registrierungs Web Seite 2 W hlen Sie ber Registrierungsart die Option Browser Zertifikat aus 3 4 Klicken Sie auf OK W hlen Sie ber Aktion die Option Widerrufen aus Es werden Informationen zur Identifizierung des Zertifikats angezeigt berpr fen Sie die Informationen um sicherzustellen da dies auch das Zerti fikat ist das Sie widerrufen wollen Bei Begr ndung w hlen Sie einen aus warum Sie das Zertifikat wider rufen wollen Im Abschnitt g g ka werden die zul ssigen Gr nde beschrieben Bei Datum ab dem das Zertifikat nicht mehr g ltig ist geben Sie an wann das Zertifikat widerrufen werden soll W hlen Sie entweder das aktuelle Kapitel 3 Informationen zur Vorgehensweise 13 Datum oder ein Datum in der Vergangenheit aus Wenn die Begr ndung mit einem Datum zusammenh ngt verwenden Sie dieses Datum Beispiel Wenn Sie glauben da Ihr Schl ssel besch digt wurde w hlen Sie das Datum aus an dem dies Ihrer Meinung nach passiert ist 8 Klicken Sie auf Zertifikat widerrufen Aktive Anforderungen abbrechen Wenn Sie eine Anforderung bergeben um ein Zertifikat zu erneuern zu wieder rufen oder in den Wartestatus zu setzen und versuche
109. ng zum Web Server herstellen k nnen Um dieses Problem zu l sen w hlen Sie im Browser Extras Internetoptionen aus W hlen Sie im Fenster f r die Einstellungen der Internet Optionen die Registerkarte Erweitert aus und klicken Sie anschlie fend auf den Knopf Standards wiederherstellen Dadurch wird SSL Kapitel 3 Informationen zur Vorgehensweise 11 Version 3 0 erneut aktiviert Klicken Sie auf OK und schlie en Sie den Browser Starten Sie Internet Explorer erneut und versuchen Sie erneut eine Verbindung zum Server herzustellen Ein Zertifikat in den Wartestatus setzen Sie k nnen Browser Zertifikatd die Sie direkt ber die Registrierungs Web Seite abgerufen haben in den Wartestatus setzen Anmerkung Wenn Sie Ihr Zertifikat heruntergeladen haben als die Client Anwendung aktiv war m ssen Sie diese Anwendung verwenden um das Zertifikat in den Wartestatus zu setzen Um Ihr Zertifikat in den Wartestatus zu setzen gehen Sie folgenderma en vor 1 Nehmen Sie Zusrifd auf die Registrierungs Web Seite 2 W hlen Sie ber Registrierungsart die Option Browser Zertifikat aus 3 W hlen Sie ber Aktiondie Option Widerrufenl aus 4 Klicken Sie auf OK Die Anzeige enth lt Informationen die Sie und das Zertifikat identifizieren 5 berpr fen Sie die Informationen um sicherzustellen da dies auch tats chlich das Zertifikat ist das Sie in den Wartestatus setzen wollen 6 Bei Begr ndung w hlen Sie die Option Zertif
110. ngen und zur Verwaltung von Zertifikaten w hrend ihrer G ltigkeits dauer bereitstellt Registrierungsproze Bei Trust Authority die Schritte die zur berpr fung eines Benutzers ausgef hrt wer den Durch den Registrierungsproze werden Benutzer sowie deren ffentliche Schl ssel zertifiziert um sie zur Teilnahme an den gew nschten Transaktionen zu berechtigen Er kann lokal oder Web gest tzt automa tisch oder von einer tats chlich mit Personen besetzten Registrierungsstelle ausgef hrt werden Registrierungsstelle RA Die Software die zur Ver waltung digitaler Zertifikate verwendet wird und sicherstellt da die Unternehmensregeln vom ersten Empfang einer Registrierungsanforderung bis zum Zertifikatswiderruf angewendet werden Registrierungsvariable Siehe Registrierungsattribut RSA Ein auf ffentlichen Schl sseln basierender Verschl sselungsalgorithmus der nach seinen Erfindern Rivest Shamir und Adelman benannt wurde Er wird zur Verschl sselung und f r digitale Unterschriften verwendet S S MIME Ein Standard der das Unterzeichnen und Verschl sseln von elektronischer Post E Mail unter st tzt die ber das Internet bertragen wird Siehe MIME Schema Beim Directory die interne Struktur die zur Definition der Beziehungen zwischen den verschiede nen Objektarten verwendet wird Schl ssel Bei der Verschl sselung ein Wert der zum Ver und Entschl sseln von Informationen verwendet wir
111. nicht lediglich um einen verschl sselten Namen oder eine Reihe einfacher Identifikationscodes handelt Eine digitale Unterschrift enth lt eine ver schl sselte Zusammenfassung der unterzeichneten Nachricht Durch das Anf gen einer digitalen Unter schrift an eine Nachricht l t sich der Absender also zweifelsfrei feststellen Die Unterschrift kann nur mit Hilfe des Schl ssels des Absenders erstellt werden Au erdem erm glicht sie die Absicherung des Inhalts der unterzeichneten Nachricht da die verschl sselte Nachrichtenzusammenfassung mit dem Nachrichten inhalt bereinstimmen mu Andernfalls wird die Unterschrift nicht als g ltig identifiziert Eine digitale Unterschrift kann also nicht von einer Nachricht kopiert und f r eine andere Nachricht verwendet wer den da sonst die Zusammenfassung Hash Code nicht bereinstimmen w rde Alle nderungen an der unter zeichneten Nachricht f hren automatisch zum Verlust der G ltigkeit der Unterschrift Digitale Zertifizierung Siehe Zertifizierung Digitales Zertifikat Ein elektronischer Identit tsnach weis der von einer zuverl ssigen Stelle f r eine Person oder Entit t ausgestellt wird Jedes Zertifikat ist mit dem privaten Schl ssel des CAs unterzeichnet Es b rgt f r die Identit t einer Person eines Unternehmens oder einer Organisation Abh ngig vom Aufgabenbereich des CAs kann das Zertifikat die Berechtigung seines Inhabers best tigen e Business Transaktionen
112. ns und zur Vergabe gesicherter elektronischer Identit ten in Form von Zertifikaten dient Der CA verarbeitet die Anforderungen von RAs zum Ausstellen Erneuern und Widerrufen von Zertifikaten Er kooperiert mit der RA um Zertifikate und CRLs im Directory zu ver ffentli chen Siehe auch Digitales Zertifikat Zertifikatserweiterung Eine Zusatzfunktion des X 509v3 Zertifikatformats die zur Einbindung zus tzli cher Felder in das Zertifikat dient Es stehen Standard und benutzerdefinierte Erweiterungen zur Verf gung Die Standarderweiterungen dienen verschiedenen Zwecken und umfassen Schl ssel und Regel informationen Betreff und Ausstellerattribute sowie Einschr nkungen die f r den Zertifizierungspfad gel ten Zertifikatsprofil Eine Gruppe von Kenndaten die den gew nschten Zertifikatstyp definieren z B SSL oder IPSec Zertifikate Das Profil vereinfacht die Zerti fikatsspezifikation und registrierung Der Aussteller kann die Namen der Profile ndern und Kenndaten des gew nschten Zertifikats angeben Hierzu z hlen z B der G ltigkeitszeitraum die Verwendung von Schl s seln DN Einschr nkungen usw Zertifikatsregel Eine benannte Gruppe mit Regeln die angibt ob ein Zertifikat f r eine bestimmte Klasse von Anwendungen mit gemeinsamen Sicherheitsan forderungen anwendbar ist Eine Zertifikatsregel kann z B angeben ob ein bestimmter Zertifizierungstyp dem Benutzer die Ausf hrung von Transaktionen f r Waren
113. oge der Client Anwendung 40 Dialog Zertifikatserneuerung 41 Dialog Kennwort ndern 41 Dialog Zertifikat l schen 41 Dialog Zertifikat exportieren 42 Dialog Zertifikat importieren 42 Dialog Neues Zertifikat unter Verwendung einer Vorabregistrierungsdatei 42 Dialog Neues Zertifikat unter Verwendung einer Transaktions ID BR 43 Dialog Zertifikat ffnen 43 Dialog Smart Card ffnen 44 Dialog Zertifikat erneuern 45 Dialog Zertifikat widerrufen 45 Dialog Datei unterzeichnen 46 iii Dialog Smart Card Eigenschaften 46 Hilfe f r die Client Anwendung 47 Uberlegungen zur Unterstiitzung in der Landesspra che A a ck Eee ee 4 AZ Bemerkungen 49 Marken und Dienstleistungsmarken 50 iv Trust Authority Benutzerhandbuch Bezugsinformationen Glossar Index 53 55 69 Kapitel 1 Produktinformationen zu Trust Authority IBM SecureWay stellt Anwendungen zur Verf gung mit denen Benutzer buthenti werden k nnen und die eine sichere Datenfernverarbeitung gew hrleisten Das Produkt erm glicht es Unternehmen digitale Zertifikatel in bereinstim mungen mit ihren Regeln zur Registrierung und Zertifizierung auszustellen zu ver ffentlichen und zu verwalten Die Unterst tzung von Public Key Infrastructure f r X 509 Version 3 PKIX und CDSA Verschl sselungsstandards Common
114. osition eines Eintrags in der hierarchischen Struktur des Directory Registrierung Bei Trust Authority das Abrufen von Identit tsnachweisen f r die Verwendung ber das Internet Bei der Registrierung werden Zertifikate ange fordert erneuert und widerrufen Registrierungsattribut Eine Registrierungsvariable die in einem Registrierungsformular enthalten ist Ihr Wert gibt die Informationen wider die w hrend der Registrierung erfa t werden Der Wert des Registrie rungsattributs bleibt w hrend der gesamten G ltig keitsdauer des Identit tsnachweises gleich Registrierungsdatenbank Diese Datenbank enth lt Informationen zu Zertifikatsanforderungen und ausge stellten Zertifikaten In der Datenbank werden Regi strierungsdaten gespeichert und alle nderungen auf gezeichnet die w hrend der G ltigkeitsdauer an einem Zertifikat vorgenommen werden Die Datenbank kann durch RA Prozesse und Regel Exits oder durch den Registrator aktualisiert werden Registrierungsdom ne Eine Gruppe von Ressourcen Regeln und Konfigurationsoptionen die sich auf bestimmte Registrierungsprozesse f r Zertifikate bezie hen Der Dom nenname stellt einen untergeordneten Wert zur URL Adresse dar die zur Ausf hrung der Registrierungsfunktion eingesetzt wird Registrierungsfunktion Ein Trust Authority Anwendungsger st das spezielle Verfahren zur Regi strierung von Entit ten z B Browser Router E Mail Einheiten und sichere Client Anwendu
115. r ffentlichen Daten eine vertrauli che Nachricht senden Diese Nachricht kann nur mit einem privaten Schl ssel entschl sselt werden auf den allein der gew nschte Empf nger zugreifen kann Dar ber hinaus kann die Verschl sselung auf der Basis von Schl sselpaaren nicht nur zur Gew hrleistung der Vertraulichkeit Verschl sselung sondern auch f r die Authentifizierung digitale Unterschriften eingesetzt werden Secure Electronic Transaction SET Ein Branchen standard f r die Durchf hrung sicherer Kredit oder Kundenkartenzahlungen ber nicht gesicherte Netze Der Standard formuliert Definitionen f r die Authenti fizierung von Kartenhaltern H ndlern sowie der Ban ken durch die die Karten ausgestellt werden da er die Ausstellung von Zertifikaten anfordert Secure Sockets Layer SSL Ein IETF Standard bertragungsprotokoll mit integrierten Sicherheitsservices die f r den Endbenutzer m glichst transparent sind Es stellt einen digitalen sicheren Kommunikationskanal zur Verf gung Ein SSL f higer Server empf ngt SSL Verbindungsanforderungen im allgemeinen an einem anderen Anschlu Port als normale HTTP Anforderungen SSL erstellt eine Sitzung in der die Austauschsignale zum Herstellen der Kommunikation zwischen zwei Modems nur einmal gesendet werden m ssen Anschlie end wird die Kommunikation ver schl sselt und die Nachrichtenintegrit t wird solange berpr ft bis die SSL Sitzung abgelaufen ist
116. r Zugriff der Benutzer auf die Netzressourcen eines Unternehmens nicht ber eine Telefongesellschaft sondern ber einen Internet Service Provider ISP erfolgt k nnen diese durch den Einsatz von VPN deutliche Einsparungen bei Fernzugriffen erzielen Ein VPN erh ht auch die Sicherheit beim Datenaustausch Bei der herk mmlichen Firewall Technologie kann zwar der Inhalt der Nachricht verschl sselt werden nicht jedoch die Quellen und Zieladressen Bei der VPN Technologie k nnen die Benutzer eine Tunnel verbindung herstellen bei der das gesamte Datenpaket Header und Datenkomponente verschl sselt und gekapselt ist Vorabregistrierung Bei Trust Authority ein Proze mit dem ein bestimmter Benutzer normalerweise ein Administrator andere Benutzer registrieren kann Wenn die Anforderung genehmigt wird stellt die RA Informationen zur Verf gung mit denen der Benutzer sp ter mit Hilfe der Client Anwendung von Trust Authority ein Zertifikat erhalten kann VPN Virtual Private Network W Web Browser Auf einem PC ausgefiihrte Client Software mit der ein Benutzer im World Wide Web navigieren oder lokale HTML Seiten anzeigen kann Der Web Browser ist ein Abfrage Tool das universellen Zugriff auf die umfangreichen Hypermedia Datensammlungen erm glicht die im Web und im Internet zur Verf gung gestellt werden Manche Brow 66 Trust Authority Benutzerhandbuch ser k nnen Text und Grafik anzeigen w hrend andere Browser
117. r Produktstrategien und Absichtser kl rungen von IBM stellen die gegenw rtige Absicht der IBM dar unterliegen nderungen oder k nnen zur ckgenommen werden und repr sentieren nur die Ziele der IBM Alle von IBM angegebenen Preise sind empfohlene Richtpreise und k nnen jeder zeit ohne weitere Mitteilung ge ndert werden H ndlerpreise k nnen u U von den hier genannten Preisen abweichen Marken und Dienstleistungsmarken 50 Folgende Namen sind in gewissen L ndern Marken der IBM Corporation IBM AIX AIX 6000 DB2 DB2 Universal Database SecureWay WebSphere Das Programm Trust Authority im folgenden als Programm bezeichnet enth lt Komponenten von DB2 Universal Database Diese Komponenten d rfen nur zusammen mit dem Programm installiert und entsprechend der f r das Programm geltenden Lizenzvereinbarungen in Kombination mit diesem verwendet werden um Daten zu speichern und zu verwalten die vom Programm verwendet oder generiert werden F r andere Datenverwaltungsoperationen ist der Einsatz nicht gestattet Diese Lizenz gilt z B nicht f r eingehende Verbindungen zur Daten bank die von anderen Anwendungen aus f r Abfragen und Berichtserstellungs operationen hergestellt werden Sie sind lediglich zur Installation und Verwendung dieser Komponenten auf der gleichen Maschine berechtigt auf der auch das Pro gramm installiert und verwendet wird Trust Authority Benutzerhandbuch Das Programm enth lt Komponente
118. rabregistrierungsdatei 42 Smart Card Eigenschaften 46 Smart Card ffnen 44 Zertifikat erneuern 45 Zertifikat exportieren 42 Zertifikat importieren 42 Zertifikat l schen 41 Zertifikat ffnen 43 Zertifikat widerrufen 45 Zertifikatserneuerung 41 Dialog Datei unterzeichnen 46 Dialog Kennwort ndern 41 Dialog Neues Zertifikat unter Verwen dung einer Transaktions ID 43 Dialog Neues Zertifikat unter Verwen dung einer Vorabregistrierungsda tei 42 Dialog Smart Card Eigenschaften 46 Dialog Smart Card ffnen 44 Dialog Zertifikat erneuern 45 Dialog Zertifikat exportieren 42 Dialog Zertifikat importieren 42 Dialog Zertifikat l schen 41 Dialog Zertifikat ffnen 43 Dialog Zertifikat widerrufen 45 Dialog Zertifikatserneuerung 41 Digitale Unterschriften 21 31 Digitales Zertifikat 29 Anforderung ber die Registrierungs Web Seite 5 aus einer Datei importieren 19 Datenbanks tze 27 demn chst ablaufend 20 41 Details 19 Digitales Zertifikat 29 Forts erneuerbar 30 in eine Datei exportieren 18 Kategorien 29 l schen 18 nicht erneuerbar 30 Typen 36 ber Client Anwendung anfor dern 17 ber Client Anwendung verwal ten 18 Verwaltung ber die Registrierungs Web Seite 11 zur Verwendung der Registrierungs services 5 29 zusammenfassende Informationen 22 Directory Zugriff 28 E E Mail Benachrichtigung 6 7 9 33 Eigenschaften Smart Card 24 Einheit
119. rlorengehen V Verkettungspr fung Die G ltigkeitspr fung aller CA Unterschriften in der Trust Hierarchie ber die ein bestimmtes Zertifikat ausgestellt wurde Wenn z B das Unterschriftszertifikat eines CA ber einen anderen CA ausgestellt wurde werden bei der G ltigkeitspr fung des vom Benutzer vorgelegten Zertifikats beide Unter schriften gepr ft Glossar 65 Verschl sseln Das Umordnen von Informationen so da nur Personen die ber den richtigen Entschl sse lungscode verf gen die urspr nglichen Informationen durch Entschl sselung abrufen k nnen Verschl sselt Die Eigenschaft von Daten die nach einem bestimmten System umgesetzt wurden um deren Bedeutung unkenntlich zu machen Verschl sselung Entschl sselung Die Verwendung des ffentlichen Schl ssels des gew nschten Empf n gers zum Verschl sseln von Daten f r diese Person Der Empf nger verwendet anschlie end den privaten Schl ssel seines Schl sselpaares um die Daten zu entschl sseln Vertrauensdom ne Eine Gruppe von Entit ten deren Zertifikate vom gleichen CA zertifiziert wurden Vertraulichkeit Die Wahrung der Geheimhaltung bestimmter Informationen gegen ber nicht berechtigten Personen Vertraulichkeit Der Schutz von Daten gegen den Zugriff nicht berechtigter Personen Virtual Private Network VPN Ein privates Daten netz das ferne Verbindungen nicht ber Telefon leitungen sondern ber das Internet herstellt Da de
120. rm g licht diesen Benutzern die Weiterleitung einer Transak tion an den Eigner des Schl ssels sowie die Pr fung einer digitalen Unterschrift Mit einem ffentlichen Schl ssel verschl sselte Daten k nnen nur mit dem entsprechenden privaten Schl ssel entschl sselt wer den Gegensatz zu Privater Schl ssel Siehe auch Schl sselpaar aus ffentlichem und privatem Schl ssel Open Database Connectivity ODBC Ein Standard f r den Zugriff auf unterschiedliche Datenbanksysteme Open Systems Interconnect OSI Der Name der von ISO genehmigten Computernetzstandards OSI Open Systems Interconnect P PC Karte Eine mit einer Smart Card vergleichbare Einheit die auch als PCMCIA Karte bezeichnet wird Sie ist etwas gr er als eine Smart Card und verf gt im allgemeinen ber eine h here Kapazit t PEM Privacy Enhanced Mail PKCS Public Key Cryptography Standards PKCS 1 Siehe Public Key Cryptography Standards PKCS 10 Siehe Public Key Cryptography Standards PKCS 11 Siehe Public Key Cryptography Standards PKCS 12 Siehe Public Key Cryptography Standards PKCS 7 Siehe Public Key Cryptography Standards PKI Public Key Infrastructure PKIX PKI auf X 509v3 Basis PKIX Certificate Management Protocol PKIX CMP Ein Protokoll das Verbindungen mit PKIX kompatiblen Anwendungen erm glicht PKIX CMP verwendet als prim res Transportverfahren TCP IP es ist jedoch eine Abstraktionsebene oberhalb der Sockets Schi
121. rmat auszuw hlen und einen Pfad anzugeben Anschlie end wird das Server oder Einheitenzertifikat zum Ziel des Pfads heruntergeladen Vorabregistrierung von Zertifikaten Das Zertifikat wird erst dann bergeben wenn die von Ihnen vorab registrierte Person es von der Trust Authority Client Anwendung anfordert Stattdessen werden Informationen angezeigt die der zuk nftige Zertifikatsinhaber ben tigt um das Zertifikat anzufordern eine Transaktions ID ein Kennwort und die URL der Registrierungsstelle RA die die Anforderung genehmigt hat Anmerkung Wenn Sie es w nschen k nnen Sie eine Vorabregistrie rungsdatei zur Verf gung stellen Diese kann beim Anfordern des Zertifikats zusammen mit dem Kenn wort verwendet werden Um eine Kopie abzurufen klicken Sie auf Vorabregistrierungsdatei sichern und geben Sie einen Pfad f r die Datei an Verwaltung von Zertifikaten unter Verwendung eines Browsers Auf der Registrierungs Web Seite k nnen Sie ein Browser Zertifikat das Sie her untergeladen haben auch oder Gegebenenfalls k nnen Sie das Zertifikat auch in den Wartestatu setzten anstatt es permanent zu widerrufen Dies gilt nicht f r Zertifikate f r die Sie eine TERET vorgenommen haben Anmerkung Wenn Sie eine Fehlernachricht erhalten w hrend Sie Zertifikate mit Hilfe von Microsoft Internet Explorer erneuern oder widerrufen liegt dies unter Umst nden daran da Sie keine SSL Sitzung mit Client Authentifizieru
122. rpr fen m ssen Sie entwe der zur der Web Seite zur ckkehren die Sie w hrend der Registrierung mit einem Lesezeichen markiert haben oder die folgenden Schritte ausf hren 1 Nehmen Sie Zucritd auf die Registrierungs Web Seite 2 W hlen Sie ber Registrierungsart den Typ der von Ihnen angeforderten Regi strierung aus 3 W hlen Sie ber Aktion die Option Status berpr fen aus 4 Klicken Sie auf OK Trust Authority Benutzerhandbuch Die Anzeige enth lt Felder in denen Sie Ihre Identit t authentifizieren m ssen bevor Sie Informationen ber Ihre Anforderung abrufen k nnen 5 In die folgenden Felder m ssen Informationen eingegeben werden e Bei Anforderungs ID geben Sie die Anforderungs ID ein die nach bergabe des Registrierungsformulars angezeigt wurde Bei Identifikationspr fungsantwort geben Sie dieselbe Identifikationspr fungsantwort ein die Sie im Registrierungsformular angegeben haben 6 Klicken Sie auf Registrierungsstatus berpr fen Eine Nachricht zeigt den aktuellen Status Ihrer Anforderung an e Wenn Ihre Anforderung noch anstehend ist k nnen Sie sp ter hierher zur ckkehren und den Status erneut berpr fen Wenn Ihre Anforderung genehmigt wurde wird mit der Registrierungsart festgelegt was als n chstes erfolgt Browser Zertifikat Das Browser Zertifikat wird sofort auf Ihren Browser herunter geladen Server oder Einheitenzertifikat Der Browser fordert Sie auf ein Fo
123. rung zu bergeben 5 Klicken Sie im Best tigungsfenster auf Fertigstellen Nachdem die Registrierungsstelle Ihre Anforderung genehmigt hat wird Ihr Zerti fikat automatisch auf der Emart Card gespeichert die ge ffnet ist Registrierung unter Verwendung einer Transaktions ID F hren Sie im Fenster die folgenden Aktionen aus 1 ffnen Sie das Men Zertifikat und klicken Sie nacheinander auf Neu gt Ver wendung einer Transaktions ID Der Dialog N angezeigt Auf Seite re wird Tea Dialog TEN Kapitel 3 Informationen zur Vorgehensweise 17 2 3 4 Fiillen Sie die Felder aus Klicken Sie auf Weiter um die Anforderung zu tibergeben Klicken Sie im Best tigungsfenster auf Fertigstellen Nachdem die DSR eng Ihre Anforderung genehmigt hat wird Ihr Zerti fikat automatisch auf der gespeichert die ge ffnet ist Verwaltung von Zertifikaten unter Verwendung des Client 18 Mit der Client Anwendung k nnen Sie alle eigenen Zertifikate verwalten die sich auf der befinden die ist Wenn Sie mit einem Zertifikat arbei ten wollen das sich auf einer anderen Smart Card befindet oder wenn Sie ein Zertifikat auf eine andere Smart Card herunterladen wollen m ssen Sie die Client Anwendung schlie en und anschlie end mit der Smart Card die Sie verwenden wollen erneut starten Ein Zertifikat oder eine anstehende Anforderung l schen Anmerkung Diese Aktion kann nur schwer widerrufen werden und unter Umst nden
124. s Tasks im Hintergrund ausf hrt Es wird implizit aufgerufen wenn eine Bedin gung auftritt die die Hilfe des D mons erforderlich macht Es ist nicht erforderlich da der Benutzer ber die Ausf hrung des D mons unterrichtet wird da der D mon normalerweise vom System automatisch gestar tet wird Ein D mon kann ber eine unbegrenzte Zeit hinweg ausgef hrt oder vom System in bestimmten Zeitintervallen erneut generiert werden Der Terminus englisch demon stammt aus der Mytho logie Sp ter wurde er aber als Akronym f r den Aus druck Disk And Execution MONitor Platten und Ausf hrungs berwachungsprogramm erkl rt Data Encryption Standard DES Eine Verschl sselungs Block Cipher die 1977 von der US Regierung als offizieller Standard definiert und bernommen wurde Dieser Standard wurde urspr ng lich von IBM entwickelt DES wurde seit seiner Ver f fentlichung umfassend untersucht und stellt ein all gemein bekanntes und h ufig verwendetes Verschl sselungssystem zur Verf gung Bei DES handelt es sich um ein symmetrisches Ver schl sselungssystem Um es f r die Daten bertragung einzusetzen m ssen sowohl der Sender als auch der Empf nger den selben geheimen Schl ssel kennen Dieser Schl ssel wird zum Ver und Entschl sseln der Nachricht verwendet DES kann au erdem zur Durch f hrung von Verschl sselungsoperationen f r einzelne Benutzer eingesetzt werden z B zum Speichern von verschl sselten
125. s Zertifikats bzw der Zertifikatsanforderung Giltigkeitsdatum Das Datum ab dem das Zertifikat giiltig ist Zweck Die haupts chliche Verwendung des Zertifikats Schl sselalgorithmus Die ID des Verschl sselungsalgorithmus f r den privaten Schl ssel der dem Zertifikat zugeordnet ist Zusammen mit der Schl sselgr e identifi ziert dieser Algorithmus die Stufe des Schl ssels Schl sselgr e Die L nge des privaten Schl ssels der dem Zertifikat zugeordnet ist E Mail Adresse Ihre E Mail Adresse im Internet Die Informationen zum Zertifikatsgegenstand enthalten folgende Angaben zu der Entit t f r die das Zertifikat ausgestellt wurde Allgemeiner Name Der Name des Zertifikatsinhabers Abteilung Der Gesch ftsbereich dem der Zertifikatsinhaber angeh rt Firmenname Das Unternehmen des Zertifikatsinhabers Ort Das Bundesland in dem sich der Zertifikatsinhaber befindet Land Das Land in dem sich der Zertifikatsinhaber befindet Die Informationen zum Aussteller enthalten die folgenden Angaben ber den Zertifikatsaussteller CA der das Zertifikat ausgegeben hat Allgemeiner Name Die ID des CA der das Zertifikat ausgestellt hat Abteilung Der Gesch ftsbereich dem der Aussteller angeh rt Firmenname Der Name des Unternehmens des Ausstellers Ort Das Bundesland in dem sich der Aussteller befindet Land Das Land in dem sich der Aussteller befindet Dialog Smart Card ffnen In diesem Dia
126. sie mit der Verwendung des Zertifikats in Zusammen hang steht F r Server Zertifikate ist dieses Feld wahlfrei Wenn Sie es verwenden identifizieren Sie die Maschine auf der der Web Server installiert ist Der Dom nenname ist f r IPSec Zertifikate erforderlich Sie m ssen die IPSec Einheit identifizieren auf der das Zertifikat instal liert wird 6 Klicken Sie auf Registrierungsanforderung bergeben Nachdem Trust Authority das Registrierungsformular erhalten hat geschieht folgendes e Wenn das Formular Fehler enth lt werden diese Fehler angezeigt Nehmen Sie die entsprechenden nderungen vor und klicken Sie auf Registrierungs anforderung erneut bergeben Trust Authority Benutzerhandbuch 7 Wenn das Formular keine Fehler enth lt wird ihre Anforderungs ID auf einer anderen Web Seite angezeigt Sie sollten Ihre Anforderungs ID auf jeden Fall notieren Sie dient sp ter zu Ihrer Identifizierung damit Sie den Status der Anforderung k nnen und Ihr Zertifikat nach dessen Fertigstellung erhalten F hren Sie einen der folgenden Schritte aus wie auf der Web Seite beschrieben e Markieren Sie die Web Seite mit einem Lesezeichen damit Sie ohne Schwie rigkeiten zu dieser Anzeige zur ckkehren und den Status Ihres Zertifikats berpr fen k nnen Notieren Sie die Anforderungs ID damit Sie diese angeben k nnen wenn Sie zur ckkehren Warten Sie bis Ihnen die Anforderungs ID per E Mail zugesandt wird E
127. t t Ein System sch tzt seine Datenintegrit t wenn es die nderung dieser Daten durch nicht berechtigte Personen verhindert Im Gegensatz hierzu versteht man unter dem Schutz der Vertraulichkeit von Daten wenn verhindert wird da diese unberechtigten Personen zug nglich gemacht werden Integrit tspr fung Die Pr fung der Protokolleintr ge die f r Transaktionen mit externen Komponenten auf gezeichnet wurden International Standards Organization ISO Eine internationale Organisation die Standards f r eine breite Palette von Industriebereichen z B auch f r Computernetzprotokolle entwickelt und ver ffentlicht International Telecommunication Union ITU Eine internationale Organisation in der Verwaltungs und private Industriebereiche globale Datenfern bertra gungsnetze und services koordinieren Bei der Ver f fentlichung von Informationen zur Datenfern bertra gungstechnologie sowie den entsprechenden Regelwerken und Standards nimmt sie eine f hrende Position ein Interne Struktur Siehe Schema Internet Ein weltweiter Verbund von Netzen die die elektronische Verbindung zwischen Computern und die Kommunikation zwischen den Computern ber Softwareeinrichtungen wie elektronische Post E Mail oder Web Browser erm glichen So sind beispielsweise die meisten Universit ten in ein Netz eingebunden das seinerseits eine Verbindung zu anderen hnlichen Net zen hat die zusammen das Internet bilden Int
128. t Ihnen geh ren Tabellen im Fenster Smart Card a im Fenster enth lt eine Tabelle in der die auf der befindlichen Eertifikatd beschrieben werden In jeder Zeile wird jeweils ein Zertifikat beschrieben Die Spalten liefern die folgenden Informationen Status Der Status des Zertifikats oder der Anforderung eines Zertifikats Folgende Werte sind m glich Ausgestellt Die Registrierungsstelle RA hat das Zertifikat ausgestellt und die Client Anwendung hat es auf der Smart Card gespeichert Nicht genehmigt Die RA hat die Zertifikatsanforderung zur ckgewiesen Erneuern bergeben Die Anforderung zur Erneuerung des Zertifikats wurde an die RA gesendet Widerrufen bergeben Die Anforderung zum Widerruf des Zertifikats wurde an die RA gesendet bergeben Die Zertifikatsanforderung wurde an die RA gesendet Kennsatz Eine eindeutige Beschreibung f r das ausgestellte Zertifikat Name des Zertifikatsgegenstands Der registrierte Name des Zertifikats Zweck Die haupts chliche Verwendung des Zertifikats Ablaufdatum Das Datum ab dem das Zertifikat nicht mehr g ltig ist Dialoge der Client Anwendung Die Client Anwendung stellt Dialoge zur Verf gung in denen Sie w hrend der Arbeit mit Ihren Zertifikaten Einzelangaben machen k nnen Ausgangspunkt aller Tasks sind die Men s im Fenster Smart Cand Die Client Anwendung zeigt dann jeweils den entsprechenden Dialog fiir die Task an 40 Trust Authority Benutzer
129. t anzufordern und um ihre eigenen zu erneuern oder zu widerrufen Administratoren k nnen die Registrierungs Web Seite auch dazu aufrufen um andere Benutzer vorab zu registrieren Trust Authority Registratoren greifen auf den RA Desktop zu um mit den Regi strierungsanforderungen und Zertifikaten zu arbeiten die einer Registrierungsdo m ne zugeordnet sind Kapitel 4 Erl uterungen 27 Registrierungss tze Jede Anforderung f r ein Zertifikat ist ein Registrierungsformular das an die Trust Authority RA bergeben wird Jede Registrierungsanforderung f hrt zu einem Satz in der ee Aktualisierungen an diesem Satz spiegeln jede f r die Anforderung ausgef hrte Aktion wider selbst eine Zur ckweisung der Anfor derung Wenn ein Zertifikat erstellt wird spiegelt derselbe Satz alle Ereignisse wider die mit diesem Zertifikat in Zusammenhang stehen Demnach enth lt der Registrierungssatz alle Ereignisse im rabeno aAa der Anforderung und des zugeordneten Zertifikats Datensatzeigenschaften Die Attribute eines Satzes in der Registrierungsdatenbank sind Variablen die die forderung beschreiben Bei ausgef hrten Anforderungen beschrei ben die Variablen auch das genehmigte Andere Attribute sind Verarbei tungsvariablen die Ihrem Unternehmen dabei helfen ihre umzusetzen Viele Attribute und ihre zugeh rigen Werte k nnen von den Registra toren ber den RA Desktop angezeigt werden Zertifizierung Zertifizierung bedeut
130. t ein Das Kennwort kann zwi schen 8 und 32 Zeichen enthalten und zwar A Z a z und 0 9 Kennwort best tigen Geben Sie dasselbe neue Kennwort nochmals ein Dialog Zertifikat l schen In diesem Dialog k nnen Sie zusammenfassende Informationen zu einem der folgenden Eintr ge anzeigen den Sie zum L schen ausgew hlt haben Zertifikate die Sie von der ge ffneten Smart Card l schen wollen e Anstehende Anforderungen die Sie zwar bergeben haben die Sie jedoch stor nieren wollen bevor sie von der RA bearbeitet werden Alle Arten von anstehen den Anforderungen sind m glich Es kann sich sogar um eine Anforderung zum L schen oder Widerrufen eines Zertifikats handeln Kapitel 5 Referenzinformationen 41 1 berpr fen Sie die Informationen die das Zertifikat oder die Anforderung Beschreiben Auf Seite 3 werden die angezeigten Details beschrieben 2 Wenn Sie den ausgew hlten Eintrag tats chlich l schen wollen klicken Sie auf OK Anmerkung Wenn die anstehende Anforderung die Sie l schen wollen nicht angezeigt wird hat die Anforderung nicht l nger den Status anste hend und kann daher nicht mehr gel scht werden Dialog Zertifikat exportieren In diesem Dialog geben Sie die Informationen ein die erforderlich sind um ein Zertifikat von der ge ffneten Kmart Card in eine Datei zu exportieren Verschl sselungsart W hlen Sie die Verschl sselungsstufe f r die Datei aus Eine h here Ver sc
131. tellt Es entspricht den Empfehlungen die im X9 57 Standard unter Public Key Cryptography for the Financial Services Industry definiert wurden Proxy Server Eine Einheit die zwischen einem Com puter der eine Zugriffsanforderung absetzt Computer A und einem Computer auf den zugegriffen werden soll Computer B implementiert ist Wenn ein Endbe nutzer eine Anforderung f r eine Ressource ber Com puter A absetzt wird diese an den Proxy Server gelei Glossar 61 tet Dieser sendet die Anforderung an Computer B erh lt von diesem die Antwort und leitet diese an den Endbenutzer weiter Mit Hilfe eines Proxy Servers kann ber einen Computer der sich innerhalb einer Firewall befindet auf das World Wide Web zugegriffen werden Pr f Client Jeder Client im System der Pr fereignisse an den Trust Authority Pr f Server sendet Bevor ein Pr f Client ein Ereignis an den Pr f Server sendet stellt er eine Verbindung zu diesem her Nach der Herstellung der Verbindung verwendet der Client die Client Bibliothek des Pr fsubsystems um Ereignisse an den Pr f Server zu bertragen Pr f Server Ein Trust Authority Server der zum Empfangen von Pr fereignissen von Pr f Clients und zum Aufzeichnen dieser Ereignis in einem Pr f protokoll dient Pr fprotokoll Daten in Form eines logischen Pfades die eine Folge von Ereignissen verbinden Mit dem Pr fprotokoll k nnen Transaktionen oder der bisherige Verlauf einer bestimmten Akti
132. thmus W hlen Sie den von Ihrem Unternehmen vorgeschlagenen Verschl sselung salgorithmus aus den Sie f r den privaten Schl ssel der diesem Zertifikat zugeordnet ist verwenden sollen Die Werte auf der Liste sind f r Ihre Maschine geeignet Zusammen mit der Schl sselgr e definiert dieser Algorithmus die Stufe des Schl ssels Schl sselgr e W hlen Sie eine Gr e f r den privaten Schl ssel aus der diesem Zertifi kat zugeordnet ist Die Werte auf der Liste sind f r Ihre Maschine geeignet Gr ere Schl ssel sind sicherer verl ngern jedoch auch die Zeit die erfor derlich ist um eine Verbindung zu einer sicheren Sitzung herzustellen Dialog Zertifikat ffnen In diesem Dialog k nnen Sie die Details zu dem Zertifikat bzw der Zertifikatsan forderung anzeigen das bzw die Sie im Fenster Smart Card ausgew hlt haben Die Beschreibung ist in mehrere Abschnitte aufgeteilt Die Abschnitte enthalten allgemeine Informationen Informationen zum Zertifikatsgegenstand und Informa tionen zum Aussteller Die Informationen zu einer Zertifikatsanforderung unter scheiden sich in gewisser Weise von denen zu einem Zertifikat Eine Zertifikatsan forderung hat beispielsweise keine Seriennummer Die allgemeinen Informationen enthalten folgendes Kennsatz Eine eindeutige Beschreibung f r das ausgestellte Zertifikat Kapitel 5 Referenzinformationen 43 Seriennummer Die Seriennummer des Zertifikats Status Der Statud de
133. thority mit einem werksei tig erstellten privaten Schl ssel unterzeichnet Sicherheitsobjekte wie beispiels weise Schl ssel und MACs werden verschl sselt und in gesch tzten Bereichen den sogenannten KeyStores Schl sselspeichern aufbewahrt Integrierte Unterst tzung f r IBM SecureWay Directory Das Directory speichert Informationen zu g ltigen und widerrufenen Zertifikaten in einem LDAP kompatiblen Format LDAP Lightweight Direct Access Protocol Integrierte Unterst tzung f r IBM WebSphere Application Server und IBM HTTP Server Der Web Server arbeitet mit dem RA Server zusammen um Nach richten zu verschl sseln Anforderungen zu authentifizieren und Zertifikate an den vorgesehenen Empf nger zu senden Integrierte Unterst tzung f r das ausgezeichnete IBM Produkt IBM DB2 Univer sal Database 2 Trust Authority Benutzerhandbuch Kapitel 2 bersicht Wenn die gesicherten Anwendungen eines Unternehmens durch Trust Authority gesch tzt werden k nnen ausschlie lich Benutzer mit entsprechenden Berechti gungen auf diese Anwendungen zugreifen Wer eine Berechtigung wie beispiels weise ein digitales Zertifikat ben tigt kann diese anfordern indem er bestimmte Informationen zur Verf gung stellt Die Daten in der stellen die Grundlage f r die Entscheidung dar ob die Anforderung genehmigt oder zur ckgewiesen wird Wenn eine Registrierungsanforderung genehmigt wird bearbeitet die Trust Authority gistration A
134. tifi kate auf Smart Cards zu speichern m ssen Sie Ihren Browser m glicherweise mit einer f r die entsprechende Smart Card erforderlichen Version aktualisieren Beispiel IBM SecureWay Smart Card Security Kit erfordert einen der folgenden Browser Netscape Navigator oder Netscape Communicator Version 4 6 oder h her Microsoft Internet Explorer Version 5 0 oder h her Systemvoraussetzungen f r die Client Anwendung Sie m ssen die Trust Authority Client Anwendung auf einer Windows NT Maschine installieren Sie k nnen die Client Anwendung nicht auf derselben Maschine installieren auf der die Trust Authority Server Programme installiert wurden Ein Administrator sollte das Installationsabbild als Teil der Trust Authority Installation auf dem Server installieren es jedoch nicht auf derselben Maschine ausf hren F r die Installation der Client Anwendung sind mindestens 80 MB freier Platten speicherplatz auf dem Festplattenlaufwerk erforderlich auf dem die tempor ren Dateien gespeichert werden Wenn Sie feststellen wollen um welches Laufwerk es sich dabei handelt geben Sie den folgenden Befehl ein mit dem die Umgebungseinstellungen der Variable TEMP berpr ft werden md temp Ist ein Verzeichnis TEMP vorhanden wird vom System die folgende Nachricht angezeigt Ein Unterverzeichnis bzw eine Datei laufwerk TEMP ist bereits vorhanden Andernfalls wird das Verzeichnis TEMP vom System erstellt Bitte beachten S
135. uf einen Pfad einzugeben Wenn Sie diesen Knopf anklicken wird das CA Zertifikat sofort heruntergeladen Mit diesem Zertifikat kann der Server oder die Einheit Daten authenti fizieren die von Trust Authority gesendet werden Wenn Sie aus irgendeinem Grund bereits ber ein solches Zertifikat verf gen ben ti gen Sie davon kein zweites E Mail Adresse Um E Mail Benachrichtigung ausw hlen zu k nnen m ssen Sie Ihre E Mail Adresse angeben E Mail Benachrichtigung W hlen Sie dieses Feld aus wenn Sie per E Mail ber das Ergebnis Ihrer Anforderung benachrichtigt werden wollen Identifikationspr fungsantwort Stellen Sie sicher da Sie die von Ihnen angegebene Identifikations pr fungsantwort von Gro Kleinschreibung abh ngig nicht verges sen Sie ben tigen die Antwort sp ter um den Status der Registrie rungsanforderung berpr fen zu k nnen Allgemeiner Name Das Feld Allgemeiner Name enth lt bereits Informationen die Sie f r Vorname und Nachname angeben Wenn Sie die Eintr ge f r den Vor bzw Nachnamen zu einem sp teren Zeitpunkt ndern werden diese nderungen m glicherweise nicht automatisch f r den allgemeinen Namen bernommen Ist dies der Fall m ssen Sie das Feld Allgemei ner Name mit dem ge nderten Vornamen und Nachnamen aktualisie ren bevor Sie das Registrierungsformular bergeben Dom nenname Geben Sie den Namen der Maschine an auf der das Zertifikat instal liert wird falls
136. und physische Smart Cards die entweder intern oder extern sein k nnen Sie k nnen eine externe Smart Card von Maschine zu Maschine mitneh men doch ist sie aufgrund ihrer bertragbarkeit weniger sicher Wenn Sie ber die Client Anwendung ein neues Zertifikat herunterladen wird es automatisch auf der Smart Card gespeichert die Sie ge ffnet haben Kapitel 4 Erl uterungen 31 32 Trust Authority Benutzerhandbuch Kapitel 5 Referenzinformationen Die folgenden Abschnitte enthalten Feldbeschreibungen zul ssige Feldwerte und die Bedeutung der Zertifikatsattribute Ebenso enthalten sind Informationen die Ihnen bei der Verwendung von Trust Authority in einer anderen Sprache als Eng lisch helfen k nnen Registrierungsformular auf der Web Seite Das Registrierungsformular enth lt Abschnitte f r Daten ber den Zertifikatsinhaber und f r Daten ber die Anforderung des Einige Felder in diesen Abschnitten stehen nur f r bestimmte zur Verf gung Anmerkung Wenn Ihr Unternehmen die Registrierungsformulare anpa t kann deren Inhalt von der Beschreibung in diesem Handbuch abweichen Die Registrierungsinformationen enthalten die folgenden Felder sofern sie auf den angeforderten Zertifikatstyp zutreffen Zertifikatstyp Wahlen Sie einen Wert aus der Liste aus Im Abschnitt L Verfiigbarel Zertifikatstypen auf Seite 34 werden die Zertifikatstypen beschrieben die mit einer Standardinstallation zur Verf gung gestel
137. ung f r den Widerruf 37 Besch digter Schl ssel 37 Browser Unterst tzung 26 Browser Voraussetzungen 38 Browser Zertifikat 29 Browser Zertifikatsanforderung 6 C CA Hierarchie 28 CA Zertifikat 5 29 Client Anwendung 3 deinstallieren 24 eine physische Smart Card aktivie ren 15 installieren 14 Registrierung 17 Systemvoraussetzungen 38 Szenario f r den Zertifikatsabruf 25 verlassen 24 Zertifikate verwalten 18 Zugriff 16 Client Anwendung Fensterelemente 39 Client Anwendung Registrierung 17 mit Transaktions ID 17 mit Vorabregistrierungsdatei 17 Client Anwendung Dialog 40 Datei unterzeichnen 46 Kennwort ndern 41 Neues Zertifikat unter Verwendung einer Transaktions ID 43 Neues Zertifikat unter Verwendung einer Vorabregistrierungsdatei 42 Smart Card Eigenschaften 46 Smart Card ffnen 44 6 7 Client Anwendung Dialog 40 Forts Zertifikat erneuern 45 Zertifikat exportieren 42 Zertifikat importieren 42 Zertifikat l schen 41 Zertifikat ffnen 43 Zertifikat widerrufen 45 Zertifikatserneuerung 41 Client Anwendungsanforderung l schen 18 D Dateien unterzeichnen 21 Datenbanks tze Registrierung 3 27 28 Attribute 28 Bearbeitung durch RA 3 DB2 27 Deinstallierung der Client Anwendung 24 Demn chst ablaufende Zertifikate 20 41 Details zu Zertifikaten 19 Dialog 40 Datei unterzeichnen 46 Kennwort ndern 41 Neues Zertifikat unter Verwendung einer Transaktions ID 43 Neues Zertifikat unter Verwendung einer Vo
138. utern benutzt wird Firewall Ein Gateway zwischen Netzen der den Informationsflu zwischen diesen einschr nkt Norma lerweise dienen Firewalls dem Schutz interner Netze gegen die nicht berechtigte Verwendung durch externe Personen FTP File Transfer Protocol G Gateway Eine Funktionseinheit mit deren Hilfe nicht kompatible Netze oder Anwendungen Daten austau schen k nnen Gegenseitige Zertifizierung Ein Trust Modell bei dem ein CA f r einen anderen CA ein Zertifikat aus stellt das den ffentlichen Schl ssel enth lt der dem entsprechenden privaten Unterschriftsschl ssel zugeordnet ist Ein gegenseitig zertifiziertes Zertifikat erm glicht Client Systemen oder Endentit ten in einer Verwaltungsdom ne die sichere Kommunikation mit Client Systemen oder Endentit ten in einer anderen Dom ne Gesicherte Computerbasis TCB Die Software und Hardwareelemente die zur Umsetzung der Computer sicherheitsregeln eines Unternehmens verwendet wer den Alle Elemente oder Teilelemente die zur Imple mentierung der Sicherheitsregeln eingesetzt werden k nnen sind sicherheitsrelevant und Bestandteil der TCB Bei der TCB handelt es sich um ein Objekt das durch die Sicherheitsperipherie begrenzt wird Die Mechanismen die zur praktischen Umsetzung der Sicherheitsregeln eingesetzt werden d rfen nicht umgangen werden k nnen und m ssen verhindern da Programme Zugriff auf Systemprivilegien erlangen k nnen f r die sie n
139. uthority RA die Anforderung und der Trust Authority ellen Certificate Authority CA stellt das Zertifikat aus Die Datens tze der Re istrierungsanforderungen und Zertifikate befinden sich in einer verschl sselten eRe Ein Trust Authority System bietet mehrere M glichkeiten zum Anfordern eines Zertifikats Die Trust Authority Registrierungsformulare die auf einer Web Seite zur Verf gung stehen Die Trust Authority Client Anwendung die unter Microsoft Windows ausge f hrt wird Ihr Unternehmen kann entweder eine der beiden Methoden verwenden oder auch beide zusammen je nachdem was die Mitarbeiter die sich registrieren wollen bevorzugen und was am besten im Hinblick auf die Unternehmensregeln geeignet ist Mit Hilfe der Registrierungsformulare k nnen Sie die f r die Anforderung eines Zertifikats erforderlichen Informationen bergeben und sp ter zum Formular zur ckkehren um die Antwort der Trust Authority Registrierungsfunktion abzuru fen Sie k nnen ein Browser Zertifikat ein Server Zertifikat oder ein Einheitenzerti fikat beantragen Sie haben auch die M glichkeit sich f r ein Zertifikat vorab registrieren zu lassen das den Zugriff auf PKIX kompatible Anwendungen erm g licht Sie haben ebenfalls die M glichkeit zur Registrierungs Web Seite zur ckzu kehren um die von dort direkt empfangenen Zertifikate zu verwalten Die Client Anwendung bietet einen vereinfachten Proze der f r Benutzer ge
140. vit t verfolgt werden Pr fprotokoll Bei Trust Authority eine Tabelle in einer Datenbank in der f r jedes Pr fereignis ein Datensatz gespeichert wird Pr fzeichenfolge Eine Zeichenfolge die von einem Server oder einer Anwendung gesendet wird und zum Anfordern der Benutzerberechtigung dient Der Benut zer der zur Authentifizierung aufgefordert wird unter zeichnet die Pr fzeichenfolge mit einem privaten Schl ssel Der ffentliche Schl ssel des Benutzers sowie die unterzeichnete Pr fzeichenfolge werden zur ck an den Server oder die Anwendung gesendet der bzw die die Authentifizierung anforderte Der Server versucht anschlie end die unterzeichnete Pr fzeichenfolge mit Hilfe des ffentlichen Schl ssels des Benutzers zu entschl sseln Wenn die entschl sselte Pr fzeichenfolge mit der urspr nglich gesendeten Pr fzeichenfolge bereinstimmt gilt der Benutzer als authentifiziert Public Key Cryptography Standards PKCS Infor melle hersteller bergreifende Standards die im Jahr 1991 von den RSA Laboratories in Zusammenarbeit mit Repr sentanten verschiedener Computerhersteller entwickelt wurden Diese Standards umfassen die RSA Verschl sselung die Diffie Hellman Vereinbarung die kennwortbasierte Verschl sselung sowie die Syntax f r erweiterte Zertifikate verschl sselte Nachrichten Daten zu privaten Schl sseln und f r die Zertifizierung e PKCS 1 beschreibt ein Verfahren zum Verschl sseln von Daten mit H
141. wird Das enth lt eine Beschreibung der jeweiligen Funktionen Gegenseitig ausgestelltes CA Zertifikat Mit diesem Zertifikat kann der Zertifikatsaussteller CA dem dieses Zerti fikat geh rt seine Zertifikate vom ausstellenden CA genehmigen lassen Das Zertifikat stellt die Funktionen f r digitale Unterschriften und Unbe streitbarkeit zur Verf gung Datenverschl sselungszertifikat 1 Jahr und 2 Jahre Mit diesem Zertifikat kann der Inhaber Daten verschl sseln Das Zertifikat ist nicht f r andere Zwecke gedacht E Mail Schutzzertifikat 1 Jahr und 2 Jahre Mit diesem Zertifikat kann der Inhaber das S MIME Protokoll Secure Multi Purpose Internet Mail Exchange verwenden Dieses Protokoll sch tzt E Mail und andere MIME Objekte Es stellt die Funktionen f r die Authentifizierung des Absenders Nachrichtenintegrit t Unbestreitbarkeit des Absenders und Vertraulichkeit zur Verf gung Es wird normalerweise von Endbenutzer gew hlt IPSec Zertifikat 1 Jahr und 2 Jahre Dieses Zertifikat gew hrleistet die Integrit t und Vertraulichkeit von Daten die in IP Paketen IP Internet Protocol ber das Internet gesendet wer den IPSec Zertifikate sind eher f r Daten als f r Benutzer gedacht Sie sind h ufig einem Router zugeordnet Zertifikat f r Schl sselcodierung ausschlie lich 1 Jahr und 2 Jahre Mit diesem Zertifikat kann der Inhaber Schl ssel codieren Das Zertifikat ist nicht f r andere Zwecke gedacht Unbestreitbar
Download Pdf Manuals
Related Search