SICHERHEIT

Zertifizierungsstellen-Schlüsselaustausch
IBM® Domino-Administratoren können einer Domino-Zertifizierungsstelle (CA) einen neuen Satz öffentlicher und privater Schlüssel zuweisen. Diese Schlüssel werden verwendet, um die Schlüssel von Unterorganisationen, Servern und Benutzern in einer Organisation zu zertifizieren. Der Prozess der Zuweisung neuer Schlüssel wird Schlüsselaustausch genannt.

Warum und wann dieser Vorgang ausgeführt wird

Der Austausch eines CA-Schlüssels wird unter Umständen in den folgenden Fällen erforderlich:


Wenn ein Administrator einer Domino-CA einen neuen Satz Schlüssel zuweist, werden neue Schlüssel erstellt, selbstzertifiziert und der obersten Zertifizierer-ID-Datei im Bereich der ausstehenden Schlüssel der ID-Datei hinzugefügt. Bisher in Gebrauch befindliche Schlüssel werden dem Bereich der archivierten Schlüssel der ID-Datei hinzugefügt. Austauschzertifikate, die die neuen und alten Schlüssel verbinden, werden dem Bereich der Schlüsselaustauschzertifikate der ID-Datei hinzugefügt.

Der Zeitrahmen, in dem die neuen Schlüssel erstellt und die alten archiviert werden, unterscheidet sich von der Methode, mit der der CA-Schlüsselaustausch verarbeitet wird. Falls die zertifizierende ID-Datei des Zertifizierers für die Verarbeitung des CA-Schlüsselaustauschs verwendet wird, geschieht dies unmittelbar. Falls jedoch der CA-Prozess verwendet wird, geschieht dies erst, wenn die ausgetauschte ID-Datei der CA irgendwann in der Zukunft zum Ausstellen eines Zertifikats geöffnet wird (wenn dies geschieht, wird das Verzeichnis auf dem Registrierungsserver nach neuen Zertifikaten durchsucht, die zur Zertifizierer-ID-Datei hinzugefügt werden können).

Austauschzertifikate

Warum und wann dieser Vorgang ausgeführt wird

Damit der Zertifiziererschlüsselaustausch unterstützt wird, wurde das Domino-Vertrauensmodell um einen neuen Zertifikatstyp erweitert, dem Schlüsselaustauschzertifikat. Dabei handelt es sich um Zertifikate, die von einer Entität an sich selbst ausgestellt werden. In einem hierarchischen Zertifikat gibt es einen einzelnen Namen des Ausstellers, einen einzelnen Subjektnamen und einen einzelnen Subjektschlüssel. In einem Schlüsselaustauschzertifikat sind ein einzelner Name (der sowohl der Aussteller als auch das Subjekt ist) und zwei Subjektschlüssel vorhanden, wobei ein Schlüssel zum Signieren des Zertifikats verwendet wird und bestätigt, dass sich der Subjektname legitim im Besitz des anderen Schlüssels befindet.

Wenn ein Schlüssel ausgetauscht wird, werden zwei Austauschzertifikate ausgestellt, wobei ein Zertifikat vom alten Schlüssel signiert ist und angibt, dass der neue Schlüssel gültig ist, und ein Zertifikat vom neuen Schlüssel signiert ist und angibt, dass der alte Schlüssel gültig ist. Jedes Zertifikat besitzt sein eigenes Ablaufdatum.

Austauschzertifikate sind wichtig für die Begrenzung der Ablaufdaten von Zertifikaten, die auf ältere Schlüssel ausgestellt sind. Einer der Gründe für den Austausch eines Schlüssels ist, dass mit einem früheren Schlüssel Missbrauch betrieben oder er mindestens als alt genug erachtet wurde, dass die Möglichkeit eines Missbrauchs als inakzeptabel angesehen wird. In solchen Fällen ist es durch die Begrenzung des Ablaufdatums in einem Schlüsselaustauschzertifikat möglich, die Lebenszeit eines früher ausgestellten untergeordneten Zertifikats zu begrenzen, indem ein nicht zu weit in der Zukunft liegendes Ablaufdatum im Schlüsselaustauschzertifikat angegeben wird.

Zertifiziereraustauschprozess

Warum und wann dieser Vorgang ausgeführt wird

Das Austauschen eines Zertifizierers wirkt sich auf die gesamte Organisation aus. Nach dem Austausch eines Zertifizierers müssen Sie alle Benutzer-IDs, Server-ID und Gegenzertifikate, die von diesem Zertifizierer ausgestellt wurden, austauschen oder erneut zertifizieren.

Der beste Weg, um eine komplette Kunden-Site auszutauschen, besteht darin, mit dem Wurzelinstanzzertifikat zu beginnen und sich in der Hierarchie nach unten durchzuarbeiten. Beginnen Sie mit dem Austausch der Root-CA und anschließend den CAs der Unterorganisationen. Tauschen Sie dann Server- und Benutzerschlüssel aus. Falls ein Benutzer- oder Serverschlüssel vor der übergeordneten CA ausgetauscht wird, muss der neue Benutzer- oder Serverschlüssel zweimal zertifiziert werden - einmal mit dem aktuellen (alten) CA-Schlüssel und anschließend noch einmal, wenn der CA-Schlüssel ausgetauscht wird. Diese zusätzliche Neuzertifizierung ist zeit- und arbeitsaufwendig. Für die Benutzer- und Server-Neuzertifizierung sowie die Replizierung von Personen- und Serverdokumenten ist der Eingriff eines Administrators erforderlich.

Anmerkung: Versionen vor IBM Lotus Notes vor 8.0 können keine CA-Austauschzertifikate annehmen. Wenn in Ihrer Umgebung Clients mit unterschiedlichen Versionen eingesetzt werden, können Sie daher erst mit dem CA-Schlüsselaustausch fortfahren, wenn sämtliche Clients aller Benutzer aktualisiert wurden.

Prozedur

1. Als Erstes müssen Sie dem Zertifizierer ein neues Schlüsselpaar zuweisen.

2. Tauschen oder zertifizieren Sie Server-IDs erneut, die von diesem Zertifizierer ausgestellt wurden.

3. Tauschen oder zertifizieren Sie Benutzer-IDs erneut, die von diesem Zertifizierer ausgestellt wurden.

4. Zertifizieren Sie Gegenzertifikate erneut, die von diesem Zertifizierer ausgestellt wurden.

Zugehörige Tasks
Zertifizierer ein neues Schlüsselpaar zuweisen
Schlüsselaustausch für Benutzer und für Server
Server-ID erneut zertifizieren
Benutzer-ID erneut zertifizieren
Austausch von Gegenzertifikaten