SICHERHEIT
Authentifizierung von Clients und Servern mithilfe von SSL
Notes-Clients und andere Internet-Clients verwenden das SSL-Protokoll zum Verschlüsseln von Daten, zum Authentifizieren der Serveridentität und, optional, der Client-Identität, wenn ein Notes- oder ein anderer Internet-Client eine Verbindung zu einem Internet-Server, z. B. einem Web-Server oder einem LDAP-Server, herstellt.
Auf dem Server wird SSL für jedes Protokoll individuell eingerichtet. Sie können SSL für alle oder nur für einzelne Protokolle aktivieren. Beispielsweise können Sie SSL für Mail-Protokolle (IMAP, POP3, SMTP) aktivieren und für HTTP deaktivieren.
Mithilfe der Serverauthentifizierung können Clients die Identität des Servers, zu dem sie eine Verbindung herstellen, prüfen, um sicherzustellen, dass sich kein anderer Server für den gewünschten Server ausgibt.
Mithilfe der Client-Zertifikatsauthentifizierung können Serveradministratoren einen Client identifizieren, der auf den Server zugreift, und basierend auf dieser Identität den Zugriff auf Anwendungen steuern. Wenn beispielsweise Kurt Schulz Editorzugriff auf eine Datenbank und alle anderen Benutzer keinen Zugriff auf diese Datenbank haben sollen, können Sie die Anwendungsdatenbank-ACL so einrichten, dass Kurt Schulz mit Editorzugriff ausgestattet und Benutzer, die sich anonym anmelden, explizit kein Zugriff gewährt wird.
Notes- und andere Internet-Clients, die mit der Client-Zertifikatsauthentifizierung arbeiten, verfügen über ein Internetzertifikat, das in der Notes-ID-Datei für Notes-Clients und in einer lokalen Datei für Internet-Clients gespeichert ist. Das Zertifikat enthält einen öffentlichen Schlüssel, einen Namen, ein Ablaufdatum und eine digitale Signatur. Der entsprechende private Schlüssel ist getrennt vom Zertifikat in der ID-Datei gespeichert. Bei Notes-Clients ist das Client-Zertifikat ebenfalls im Domino-Verzeichnis gespeichert, sodass andere auf den öffentlichen Schlüssel zugreifen können.
Notes- und Internet-Clients erhalten Internetzertifikate entweder von einer Domino-Zertifizierungsstelle oder von einem Zertifizierer eines Fremdanbieters.
Die Art der Konfiguration des Clients hängt davon ab, ob für den Server eine Client-Zertifikatsauthentifizierung erforderlich ist.
Als Administrator sollten Sie genau überlegen, ob Sie eine obligatorische Client-Zertifikatsauthentifizierung festlegen. Wenn Sie Internetbenutzer, die auf den Server zugreifen, nicht identifizieren müssen, ist es nicht erforderlich die Client-Authentifizierung einzurichten. In einigen Fällen kann die Anforderung eines Internetzertifikats Benutzer davon abhalten, auf einen Server zuzugreifen, beispielsweise bei einem Server, der Host einer Website ist. Wenn Sie ein Internetzertifikat voraussetzen, müssen die Benutzer zusätzliche Schritte ausführen, um das Zertifikat zu erhalten und die Client-Zertifikatsauthentifizierung einzurichten.
Anmerkung: Durch Aktivieren der Einstellung SSL-Sitezertifikate annehmen im Arbeitsumgebungsdokument, kann der Notes-Client Gegenzertifikate und Serverauthentifizierung vollständig ignorieren. Der Benutzer kann auch im Handumdrehen Gegenzertifikate erstellen, wenn er eine Verbindung zu einem Server herstellt, der SSL verwendet.
Nachrichten mithilfe von S/MIME sichern
S/MIME ist ein Protokoll, das von Clients verwendet wird, um Mailnachrichten zu signieren und verschlüsselte Mailnachrichten über das Internet an Benutzer mit Mail-Anwendungen zu senden, die ebenfalls das S/MIME-Protokoll unterstützen, z. B. Microsoft™ Outlook Express. Der Notes-Client verwendet den öffentlichen Schlüssel, der im Internetzertifikat in der Anwendung "Kontakte", im Lotus Domino-Verzeichnis oder im LDAP-Verzeichnis gespeichert ist, um Nachrichten zu verschlüsseln.
Verschlüsselte Mailnachrichten können während der Übertragung nicht von unbefugten Benutzern gelesen werden. Elektronisch signierte Nachrichten zeigen, dass die Person, die die Nachricht signiert hat, Zugriff auf den privaten Schlüssel hatte, der dem in der Signatur gespeicherten Zertifikat zugeordnet ist.
Zugehörige Konzepte SSL-Sicherheit Verschlüsselung