SICHERHEIT

Gegenzertifikate zum Zugriff auf Server und Senden von sicheren S/MIME-Nachrichten verwenden
Domino verwendet sowohl Notes- als auch Internetgegenzertifikate. Mit Notes-Gegenzertifikaten können Benutzer in verschiedenen, hierarchisch zertifizierten Organisationen auf Server zugreifen und signierte Mailnachrichten empfangen. Mit Internetgegenzertifikaten können Benutzer signierte Mailnachrichten empfangen und verschlüsselte Mailnachrichten senden.

Notes-Gegenzertifikate

Um Benutzern und Servern, deren Organisationen in einer anderen Hierarchie zertifiziert sind, den Serverzugriff in der eigenen Organisation zu ermöglichen und um die digitale Signatur eines Benutzers aus einer anderen Organisation zu überprüfen, können Sie Gegenzertifikate verwenden. Domino-Server speichern Gegenzertifikate im Domino-Verzeichnis. Für den Zugriff auf Domino-Server erhalten Notes-Clients Gegenzertifikate für diese Server und speichern sie in ihrer Anwendung "Kontakte". Diese Gegenzertifikate können nur von dem Benutzer verwendet werden, für den sie ausgestellt werden.

Wenn z. B. Kurt Schulz/Vertrieb/Ost/Renovations auf den Server "Support/Seascape" zugreifen möchte, benötigt er ein Gegenzertifikat von /Seascape und der Server "Support/Seascape" benötigt ein Gegenzertifikat für /Vertrieb/Ost/Renovations. Wenn Kurt Schulz versucht, sich beim Support/Seascape-Server zu authentifizieren, sucht der Server nach dem Gegenzertifikat in Kurts Anwendung "Kontakte". Findet der Server ein gültiges Gegenzertifikat, so überprüft er anschließend, ob Kurt Schulz berechtigt ist, auf den Server zuzugreifen.

Gegenzertifizierung kann auf verschiedenen Ebenen einer Organisation stattfinden. Um es beispielsweise jedem Benutzer in einer Organisation zu ermöglichen, sich bei jedem Server in einer anderen Organisation zu authentifizieren, besitzt jeder Benutzer ein Gegenzertifikat für den Zertifizierer der anderen Organisation in der Datei der Anwendung "Kontakte". In jeder Organisation besitzen die Server im Domino-Verzeichnis ein Gegenzertifikat für den Zertifizierer der anderen Organisation. Gegenzertifizierung kann ebenfalls für eine einzelne Benutzer- oder Server-ID erfolgen. Um beispielsweise einem einzelnen Benutzer die Möglichkeit zu geben, sich bei einem beliebigen Server in einer anderen Unterorganisation zu authentifizieren oder eine digitale Signatur eines Benutzers in dieser Unterorganisation zu bestätigen, benötigt die Benutzer-ID ein Gegenzertifikat für den Zertifizierer der Unterorganisation in der anderen Firma, und dieser Zertifizierer der Unterorganisation benötigt ein Gegenzertifikat für die Benutzer-ID.

Eine Gegenzertifizierung in zwei Richtungen muss nicht unbedingt symmetrisch sein. So kann beispielsweise eine Organisation über ein Gegenzertifikat für den Zertifizierer einer Unterorganisation verfügen, und eine andere Organisation kann über ein Gegenzertifikat für einen Zertifizierer einer Organisation verfügen.

Wenn Sie Gegenzertifikate für den Zertifizierer einer Organisation oder Unterorganisation besitzen, richten Sie Serverzugriffsbeschränkungen ein, um die andere Organisation daran zu hindern, auf bestimmte Server mit vertraulichen Informationen zuzugreifen. Wenn Sie Ihrer Organisation den Zugriff auf Server in einer anderen Organisation einräumen, jedoch diese Organisation am Zugriff auf Ihre Server hindern möchten, tauschen Sie die erforderlichen Gegenzertifikate, richten Sie aber anschließend Serverzugriffslisten auf allen Servern ein, um den Zugriff durch die andere Organisation zu verhindern.

Internetgegenzertifikate

Ein Internetgegenzertifikat ist ein Zertifikat, das die Identität eines Benutzers oder Servers überprüft. Ein Internetgegenzertifikat gewährleistet dem Empfänger einer verschlüsselten S/MIME-Nachricht, dass das Zertifikat des Absenders vertrauenswürdig und das zum Signieren einer S/MIME-Nachricht verwendete Zertifikat gültig ist. Es überprüft außerdem die Identität eines Servers, wenn ein Notes-Client mit SSL auf einen Internetserver zugreift.

Internetgegenzertifikate werden in Zertifikatsdokumenten in der Anwendung "Kontakte" gespeichert und können nur von dem Benutzer verwendet werden, für den sie ausgestellt wurden. Internetgegenzertifikate können für ein Zertifikat, das für einen Benutzer oder Server von einer Zertifizierungsstelle ausgestellt wurde, oder für die Zertifizierungsstelle selbst ausgestellt werden. Durch Erstellen eines Gegenzertifikats für ein Zertifikat wird nur der Besitzer des Zertifikats als vertrauenswürdig anerkannt, also beispielsweise der Absender der signierten Nachricht oder der Empfänger einer verschlüsselten Nachricht. Ein Gegenzertifikat für eine Zertifizierungsstelle erkennt all diejenigen als vertrauenswürdig an, die ein von dieser Zertifizierungsstelle ausgestelltes Zertifikat besitzen. Wenn Sie eine Zertifizierungsstelle gegenzertifizieren, dann erkennen Sie die Zertifizierungsstelle für die Ausstellung von Zertifikaten für Benutzer und Server an, die sich weiter unten im hierarchischen Namensbaum befinden. Wenn beispielsweise Vertrieb/ABC gegenzertifiziert wird, bedeutet dies, dass Sie Vertrieb/ABC als vertrauenswürdig für die Ausstellung eines Zertifikats an Fred/Vertrieb/ABC anerkennen. Sie könnten auch nach der Erstellung eines Gegenzertifikats für Fred/Vertrieb/ABC lediglich Fred/Vertrieb/ABC als vertrauenswürdig anerkennen.

Zugehörige Tasks
Ein Internetzertifikat und Gegenzertifikat für verschlüsselte S/MIME-Nachrichten hinzufügen

Zugehörige Verweise
Beispiele für Gegenzertifizierung