Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Schlüsselaustausch für Benutzer und für Server
Beim Schlüsselaustausch werden die öffentlichen und privaten Notes-Schlüssel aktualisiert, die in Benutzer- und Server-ID-Dateien gespeichert sind. Diese Schlüssel müssen regelmäßig ersetzt werden, um unbemerktem Missbrauch der privaten Schlüssel vorzubeugen, um bekanntem Missbrauch von privaten Schlüsseln entgegenzuwirken oder um die Sicherheit durch Aktualisierung auf einen längeren Schlüssel zu erhöhen.

Warum und wann dieser Vorgang ausgeführt wird

Die Auslöser für die Initiierung des Schlüsselaustauschs konfigurieren Sie in Einstellungsdokumenten für Sicherheitsrichtlinien und im Falle des Serverschlüsselaustauschs im Serverdokument. Auslöser kann Folgendes sein:

die Größe des vorhandenen Schlüssels
das Erstellungsdatum des vorhandenen Schlüssels
das Alter des vorhandenen Schlüssels

Administratoren können durch den Schlüsselaustausch mithilfe von Einstellungsdokumenten für Sicherheitsrichtlinien Ersatzschlüssel für Benutzer bereitstellen.

Notes-Benutzer können den Schlüsselaustausch auch mithilfe der Schaltfläche Neue öffentliche Schlüssel erstellen im Dialogfeld "Benutzersicherheit" auslösen. Wenn sie Authentifizierungsprotokoll als Methode für die Zertifikatsanforderung auswählen, werden die aktuellen Schlüssel so ausgetauscht, als sei dieser Austausch durch eine Richtlinieneinstellung ausgelöst worden. Wenn sie Mail-Protokoll auswählen, wird die in Domino 6 und früheren Versionen verwendete Mail-Methode benutzt. Weitere Informationen dazu, wie Benutzer den Schlüsselaustausch auslösen können, erhalten Sie über die zugehörigen Links.

Wenn eine Richtlinie eingerichtet wurde oder der Benutzer den Schlüsselaustausch über das Dialogfeld "Benutzersicherheit" ausgelöst hat und er sich das nächste Mal beim Home-Server authentifiziert, werden die Informationen zum Schlüsselaustausch in die ID-Datei geschrieben. Wenn der Auslöser aktiviert wird und ein Benutzer die Aufforderung zum Zulassen des Schlüsselaustauschs akzeptiert, wird der Schlüsselaustausch initiiert und es werden neue Schlüssel in der Benutzer-ID-Datei erstellt und als ausstehend gekennzeichnet. Wenn sich der Benutzer beim Home-Server authentifiziert, nachdem die neuen/ausstehenden Schlüssel generiert wurden, wird eine Zertifizierungsanforderung für die neuen Schlüssel in der Datenbank "Administrationsanforderungen" generiert.

So schließen Sie den Schlüsselaustausch ab:

Prozedur

1. Öffnen Sie in Domino Administrator die Datenbank für Administrationsanforderungen.

2. Wählen Sie in der Ansicht Anforderungen auf Zertifizieren eines neuen Schlüssels die Anforderung für den Benutzer aus und klicken Sie anschließend auf Ausgewählte Einträge zertifizieren.

3. Führen Sie im Dialogfeld "Zertifizierer wählen" einen der folgenden Schritte aus:

Wenn Sie eine serverbasierte Zertifizierungsstelle verwenden möchten, wählen Sie diese in der Dropdown-Liste aus.
Wenn Sie die Zertifizierer-ID verwenden, geben Sie den Speicherort und das Kennwort der Zertifizierer-ID an.

Wenn die Anforderung verarbeitet wurde und die neuen Schlüssel zertifiziert sind, wird das Personendokument mit neuen Schlüsseln und Zertifikatsinformationen aktualisiert.

4. Überprüfen Sie im Dialogfeld "Ablaufdatum des Zertifikats", ob das Datum richtig ist, und klicken Sie auf OK.

5. Stellen Sie im Dialogfeld "Verarbeitungsstatistik" sicher, dass keine Aktion fehlgeschlagen ist, und klicken Sie auf OK.

Ergebnisse

Wenn sich der Benutzer das nächste Mal beim Home-Server authentifiziert, wird ein Dialogfeld angezeigt, in dem der neue Benutzer gefragt wird, ob er die neuen öffentlichen Schlüssel annimmt. Der Benutzer muss auf "OK" klicken, um die neuen Zertifikate anzunehmen. Die neuen/ausstehenden Schlüssel in der Benutzer-ID-Datei werden aktiviert. Die alten Schlüssel werden archiviert.

Anmerkung: Die archivierten Schlüssel bleiben in der ID-Datei, damit sie zur Entschlüsselung von Dokumenten verfügbar sind, die mit diesen Schlüsseln verschlüsselt wurden.

So konfigurieren Sie den Serverschlüsselaustausch

Prozedur

1. Klicken Sie im Serverdokument auf Administration.

2. Geben Sie in den folgenden Feldern Werte ein:

Tabelle 1. Felder für Anforderungen an den öffentlichen Schlüssel

Feld	Aktion
Mindeststärke des Schlüssels	Geben Sie die geringste Schlüsselgröße an, die für eine Server-ID zulässig ist. Schlüssel mit weniger Zeichen werden ausgetauscht. Keine Mindeststärke (Vorgabe) Mit allen Versionen kompatibel (512 Bit) Mit allen Versionen kompatibel (630 Bit) Mit Release 6 und höher kompatibel (1024 Bit). Mit Release 7 und höher kompatibel (2048 Bit).
Höchststärke des Schlüssels	Geben Sie die zulässige Höchstanzahl an Zeichen für den Schlüssel an. Schlüssel mit mehr Zeichen werden ausgetauscht. Mit allen Versionen kompatibel (630 Bit) Mit Release 6 und höher kompatibel (1024 Bit) (Vorgabe). Mit Release 7 und höher kompatibel (2048 Bit).
Bevorzugte Schlüsselstärke	Geben Sie die Schlüsselstärke an, die beim Austausch eines Schlüssels gilt: Minimum (512 Bit) Mit allen Versionen kompatibel (630 Bit) Mit Release 6 und höher kompatibel (1024 Bit) (Vorgabe). Mit Release 7 und höher kompatibel (2048 Bit).
Höchstalter des Schlüssels	Geben Sie das Höchstalter in Tagen an, das ein Schlüssel erreichen darf, bevor er ausgetauscht werden muss. Die Vorgabe ist 36500 Tage (100 Jahre).
Frühestmögliches Erstellungsdatum des Schlüssels	Alle Schlüssel, die vor diesem Datum erstellt wurden, werden ausgetauscht.
Neuen Schlüssel nicht automatisch generieren vor	Geben Sie das früheste Datum an, an dem Schlüssel, die die Anforderungen bezüglich der Schlüssellänge nicht erfüllen, ausgetauscht werden können.
Maximale Gültigkeit des alten Schlüssels (Tage), nachdem der neue Schlüssel erstellt wurde	Geben Sie an, wie lange ein alter Schlüssel noch für die Netzwerkauthentifizierung verwendet werden kann. Während der Notes-Schlüsselüberprüfung werden alle alten und neuen Zertifikate sowie die Austauschschlüssel in einer Baumstruktur organisiert. In dieser Baumstruktur werden anschließend Zertifikatsätze gesucht, die verkettet werden können, um die Schlüssel zu verifizieren. Wenn ein Zertifikat abgelaufen ist, kann es in dieser Kette nicht verwendet werden. Wenn Sie einen Schlüssel austauschen, weil Sie annehmen, dass er bekannt wurde, sollten Sie einen kleinen Wert eingeben, um den Zeitraum zu begrenzen, für den die Zertifikate, die auf diesen Schlüssel ausgestellt wurden, noch verwendet werden können. Gültige Werte für diese Einstellung sind 1 bis 36500 Tage. Die Vorgabe ist 365 Tage.

3. Schließen und speichern Sie das Dokument. Die Schlüsselaustauschinformationen werden in die Server-ID-Datei geschrieben. Bei Aktivierung des Auslösers wird der Schlüsselaustausch initiiert, es werden neue Schlüssel in der Server-ID-Datei erstellt und als ausstehend gekennzeichnet.

4. Starten Sie den Server neu.

5. Öffnen Sie in Domino Administrator die Datenbank für Administrationsanforderungen.

6. Wählen Sie in der Ansicht Anforderungen auf Zertifizieren eines neuen Schlüssels die Anforderung für den Server aus und klicken Sie anschließend auf Ausgewählte Einträge zertifizieren.

7. Führen Sie im Dialogfeld "Zertifizierer wählen" einen der folgenden Schritte aus:

Wenn Sie eine serverbasierte Zertifizierungsstelle verwenden möchten, wählen Sie diese in der Dropdown-Liste aus.
Wenn Sie die Zertifizierer-ID verwenden, geben Sie den Speicherort und das Kennwort der Zertifizierer-ID an.

8. Überprüfen Sie im Dialogfeld "Ablaufdatum des Zertifikats", ob das Datum richtig ist, und klicken Sie auf OK.

9. Stellen Sie im Dialogfeld "Verarbeitungsstatistik" sicher, dass keine Aktion fehlgeschlagen ist, und klicken Sie auf OK.

10. Geben Sie an der Serverkonsole tell adminp process all ein, um die Schlüsselzertifizierung abzuschließen.

11. Geben Sie restart server ein.

Ergebnisse

Beim Neustarten liest der Server seine Konfiguration und übernimmt die neuen zertifizierten Schlüssel.

Zugehörige Tasks
Einstellungsdokument für Sicherheitsrichtlinien
Einen neuen öffentlichen Notes-Schlüssel erstellen und zum Domino-Verzeichnis hinzufügen

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe