Für die Nutzung des CA-Verfahrens können Sie sowohl Notes-Zertifizierer als auch Internetzertifizierer konfigurieren. Notes-Zertifizierer werden registriert und anschließend zum CA-Prozess migriert. Internet-Zertifizierer werden jedoch mithilfe des CA-Prozesses erstellt und registriert.

Folgende Gründe sprechen dafür, den CA-Prozess zu verwenden:

• Er bietet einen gemeinsamen Mechanismus für die Ausstellung von Notes- und Internetzertifikaten.
• Er unterstützt die Registrierungsstellenrolle (RA), mit der Sie die Zertifikatsbestätigung/-ablehnung an untergeordnete Administratoren in der Organisation delegieren.
• Es ist kein Zugriff auf die Zertifizierer-ID und das ID-Kennwort erforderlich. Nachdem Sie Zertifizierer für den CA-Prozess aktiviert haben, können Sie die Registrierungsstellenrolle Administratoren zuweisen, die daraufhin Zertifikatsanforderungen verwalten können, ohne die Zertifizierer-ID und das Kennwort angeben zu müssen.
• Die Anforderung eines Internetzertifikats wird mithilfe einer webbasierten Datenbank für Zertifikatsanforderungen erleichtert.
• Er stellt Zertifikatswiderruflisten aus, die Informationen über widerrufene Internetzertifikate enthalten.
• Er erstellt und verwaltet die Liste der ausgestellten Zertifikate (ICL), eine Datenbank mit Informationen über alle vom Zertifizierer ausgestellten Zertifikate, einschließlich der Richtlinie und einer Kopie der Zertifizierer-ID-Datei.
• Er entspricht den branchenüblichen Sicherheitsstandards für Internetzertifikate, zum Beispiel X.509 und PKIX.

Liste der ausgestellten Zertifikate (ICL)

Jeder Zertifizierer verfügt über eine Liste der ausgestellten Zertifikate (ICL), die erstellt wird, wenn der Zertifizierer erstellt oder in den CA-Prozess migriert wird. Bei der ICL handelt es sich um eine Datenbank, in der Kopien aller durch sie ausgestellten Zertifikate, Zertifikatswiderruflisten (oder Internetzertifizierer) und CA-Konfigurationsdokumente gespeichert sind. Konfigurationsdokumente werden generiert, wenn Sie den Zertifizierer erstellen und ihn mit dem öffentlichen Schlüssel des Zertifizierers signieren. Nachdem diese Dokumente erstellt wurden, können Sie nicht mehr bearbeitet werden.

CA-Konfigurationsdokumente umfassen Folgendes:

• Zertifikatsprofile, die Informationen zu den vom Zertifizierer ausgestellten Zertifikaten enthalten.
• Ein CA-Konfigurationsdokument, das Informationen über den Zertifizierer selbst enthält.
• RA/CA-Zuordnungsdokumente, die Informationen zu den Registrierungsstellen enthalten, die nicht berechtigt sind, Zertifikatsanforderungen zu bestätigen oder abzulehnen. Jeder Registrierungsstelle ist ein Dokument zugeordnet.
• Ein ID-Datei-Speicherdokument, das Informationen zur Zertifizierer-ID enthält.

Zertifikatswiderrufliste (CRL)

Eine CRL ist eine mit einem Zeitstempel versehene Liste, die widerrufene Internetzertifikate enthält, z. B. Zertifikate ehemaliger Mitarbeiter. Der CA-Prozess stellt für jeden Internetzertifizierer CRLs aus und verwaltet diese. Eine CRL ist einem Zertifizierer zugeordnet, wird durch diesen Zertifizierer signiert und befindet sich in der ICL-Datenbank des Zertifizierers.

Sie konfigurieren die CRL beim Erstellen eines neuen Internetzertifizierers. Sie können die Gültigkeitsdauer einer CRL und das Intervall zwischen der Publizierung neuer CRLs angeben. Nachdem CRLs konfiguriert sind, stellt der Zertifizierer sie regelmäßig aus. Sie arbeiten dann unbeaufsichtigt.

Mithilfe von CRLs können Sie die in Ihrer Organisation ausgestellten Zertifikate verwalten. Sie können ein Zertifikat problemlos widerrufen, wenn das Zertifikatsobjekt die Organisation verlässt oder wenn der Schlüssel bekannt geworden ist. HTTP-Server und Web-Browser überprüfen die CRLs dahingehend, ob ein bestimmtes Zertifikat widerrufen wurde und deshalb vom Zertifizierer nicht mehr als vertrauenswürdig anerkannt wird. Wenn Sie Internet-Site-Dokumente zur Konfiguration von Internetprotokollen auf dem Domino-Server verwenden, können Sie auch die Überprüfung der CRLs für jedes Protokoll aktivieren.

Es gibt zwei Arten von CRLs: geplante und sofort ausgestellte. Für geplante CRLs konfigurieren Sie ein Intervall für die Gültigkeitsdauer (der Zeitraum, für den die CRL Gültigkeit besitzt) und ein Intervall für die Ausstellung neuer CRLs. Jeder Zertifizierer stellt zu der angegebenen Zeit eine CRL aus, auch dann, wenn seit der letzten CRL keine Zertifikate widerrufen wurden. Wenn also ein Administrator ein Zertifikat widerruft, erscheint es in der nächsten vom Zertifizierer nach Plan ausgestellten CRL. Die Gültigkeitsdauer der CRL sollte länger sein als der Zeitraum zwischen den einzelnen CRL-Ausstellungen. Dadurch wird sichergestellt, dass die CRL ihre Gültigkeit behält. Anderenfalls könnte es sein, dass die CRL abläuft, bevor eine neue ausgestellt wird.

Bei einem schwerwiegenden Sicherheitsverstoß, z. B. wenn der Administrator ein besonders leistungsstarkes Zertifikat widerrufen muss oder das Zertifizierer-Zertifikat kompromittiert wurde, können Sie manuell eine CRL sofort ausstellen (d. h. eine nicht geplante CRL), um den Widerruf in Notfällen zu erzwingen. Diese Art des Widerrufs wirkt sich weder auf die Zeitplanung noch auf den Inhalt der nächsten geplanten CRL aus. Zum sofortigen Ausstellen einer CRL verwenden Sie den Tell-Befehl.

Zugehörige Konzepte
Internetzertifizierungsstellen einrichten
SSL-Sicherheit
Notes- und Internet-Clients für die SSL-Authentifizierung einrichten

Zugehörige Tasks
Serverbasierte Zertifizierungsstellen ändern
Zertifikate widerrufen
Zertifizierer für serverbasierte Zertifizierungsstellen erstellen
Domino-Sicherheit für Internet-Site-Dokumente einrichten

Zugehörige Verweise
Tell-Befehle für CA-Prozesse

Zugehörige Informationen
"IETF 2459 RFC - Internet X.509 Public Key Infrastructure Certificate and CRL Profile"

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe