SICHERHEIT

Internetzertifizierungsstellen einrichten
Ein kritischer Aspekt der Sicherheitsplanung ist die Entscheidung, ob und wie eine Zertifizierungsstelle für die Ausgabe von Internetzertifikaten eingerichtet wird. Bei einer Zertifizierungsstelle (CA) bzw. einem Zertifizierer handelt es sich um ein vertrauenswürdiges Administrationswerkzeug, das digitale Zertifikate ausstellt und verwaltet. Mithilfe von Zertifikaten wird die Identität eines einzelnen Benutzers, eines Servers oder einer Organisation überprüft. Diese können dann außerdem SSL bei der Kommunikation und S/MIME bei Mailübertragungen einsetzen. Zertifikate werden mit der digitalen Signatur des Zertifizierers gestempelt. Dies gibt den Empfängern des Zertifikats die Gewissheit, dass der Träger des Zertifikats die im Zertifikat genannte Entität ist.

Zertifizierer können auch Wurzelinstanzzertifikate ausgeben, die die Kommunikation zwischen Clients und Servern ermöglichen, deren Zertifikate von verschiedenen Zertifizierungsstellen erstellt wurden.

Anmerkung: Es ist wichtig, zwischen Notes-Zertifizierern und Internetzertifizierern zu unterscheiden. Wenn Sie den Domino-Server in einer Domäne installieren und konfigurieren, wird automatisch ein Notes-Zertifizierer für die Ausgabe von Notes-Zertifikaten an Notes-Clients eingerichtet. Diese Zertifikate werden von Notes-Clients benötigt, um sich bei einem Domino-Server zu authentifizieren, und von Domino-Servern, um sich gegenseitig zu authentifizieren. Somit sind Notes-Zertifizierer auch in einer Umgebung wichtig, die nur aus Web-Clients besteht. Internetzertifizierer, wie sie hier erläutert werden, geben Internetzertifikate (X.509) aus, die für die sichere Kommunikation über das Internet erforderlich sind. Internetzertifizierer werden nach Bedarf eingerichtet.

Passenden Internetzertifizierer für Ihre Organisation auswählen

Sie haben mehrere Möglichkeiten, einen Internetzertifizierer (im weiteren Verlauf dieses Abschnitts nur noch kurz als "Zertifizierer" bezeichnet) für Ihre Organisation einzurichten. Sie können einen kommerziellen Fremdanbieter-Zertifizierer (z. B. VeriSign) verwenden oder einen der beiden Domino-Internetzertifizierertypen. Jeder Zertifizierertyp hat seine Vor- und Nachteile. Treffen Sie Ihre Wahl basierend auf den Geschäftsanforderungen Ihrer Organisation sowie der Zeit und den Ressourcen, die für die Verwaltung des Zertifizierers zur Verfügung stehen.

Internetzertifizierer: Domino-Zertifizierer im Vergleich zu Fremdanbieter-Zertifizierern

Tabelle 1. Internetzertifizierer
InternetzertifizierertypVorteile
Domino-Zertifizierer
  • Vermeidet die Kosten, die ein Fremdanbieter-Zertifizierer für das Ausstellen und Erneuern von Client- und Serverzertifikaten in Rechnung stellt.
  • Viele Administratoren sind bereits mit Domino vertraut, sodass sie nicht mehr extra geschult werden müssen, wie das bei Verwendung eines Fremdanbieter-Zertifizierers der Fall wäre.
  • Neue Zertifikate können bei Bedarf schneller und einfacher eingerichtet und implementiert werden.
Fremdanbieter-Zertifizierer (VeriSign, RSA usw.)
  • Die Client-Konfiguration kann vereinfacht werden. Wenn Sie Zertifikate von einem Zertifizierer abrufen, der in den verwendeten Browsern als vertrauenswürdig vorkonfiguriert ist, sparen Sie sich einen Schritt in der Client-Konfiguration.
  • Entsprechend sparen sich die externen Unternehmen einen Konfigurationsschritt, wenn der Zertifizierer in ihren Mail-Clients, mit denen Sie S/MIME-Mail austauschen, vorab als vertrauenswürdig konfiguriert ist.

Domino-Internetzertifizierer: Serverbasierte Zertifizierungsstelle im Vergleich zu Domino 5-Zertifizierungsstelle

Sie können zwischen der Einrichtung einer Domino-Zertifizierungsstelle, die einen serverbasierten CA-Prozess verwendet, oder einer Domino 5-Zertifizierungsstelle, die einen CA-Schlüsselring verwendet, wählen.

Tabelle 2. Domino-Internetzertifizierer
Domino-InternetzertifizierertypVorteile
Serverbasierte Zertifizierungsstelle
  • Administratoren können sowohl Notes-Zertifizierer als auch Internetzertifizierer über den CA-Prozess verwalten.
  • Die ausgegebenen Internetzertifikate entsprechen den Sicherheitsstandards der Branche (z. B. X.509v3 und PKIX).
  • Zum Registrieren von Benutzern und Servern ist kein Administratorzugriff auf die Zertifizierer-ID und das ID-Kennwort erforderlich. Dies gibt Administratoren die Möglichkeit, diese Aufgaben zu delegieren, ohne dass Gefahr für die Sicherheit des Zertifizierers besteht.
  • Unterstützen die PKIX-Registrierungsstellenrolle (RA), wodurch Administratoren die Möglichkeit erhalten, die Zertifikatsbestätigung/-ablehnung zu delegieren.
  • Stellen Zertifikatswiderruflisten (CRLs) aus, die Informationen über widerrufene oder abgelaufene Internetzertifikate enthalten.
  • Sind erforderlich, wenn Sie Notes-Benutzer mithilfe des Web-Administrator-Clients registrieren möchten.
Domino 5-Zertifizierungsstelle
  • Bietet eine einfache Möglichkeit zum Einrichten eines Internetzertifizierers für Test- oder Demonstrationszwecke.

Beide Domino-Internetzertifizierertypen in einer Domäne verwenden

Sie können beide Zertifizierertypen, CA-Prozess und CA-Schlüsselring, in einer Domäne verwenden. Sie müssen jedoch darauf achten, dass ein Zertifizierer nicht sowohl einen Schlüsselring als auch den CA-Prozess zum Ausgeben von Internetzertifikaten einsetzt. Ein Zertifizierer vom Typ "CA-Prozess" verfolgt die ausgestellten Zertifikate in einer Liste der ausgestellten Zertifikate, einer Datenbank, auf die alle Server in einer Domäne zugreifen können. Zertifizierer vom Typ "Schlüsselring" hingegen erstellen Protokolle auf allen Workstations, auf denen sie verwendet werden. Es gibt also keine zentral abgelegte Liste der ausgestellten Zertifikate, sondern nur mehrere Teillisten. Aus diesem Grund wird kein vom CA-Prozess ausgegebenes Zertifikat von einem CA-Schlüsselring anerkannt, und umgekehrt erkennt der CA-Prozess keine Zertifikate an, die mit einer CA-Schlüsselringdatei erstellt wurden.

Dieses Problem ist insbesondere für Internetzertifizierer relevant, da es möglich ist, Internetzertifikate in serverbasierten Zertifizierungsstellen zu widerrufen. Um ein Internetzertifikat zu widerrufen, müssen Sie es jedoch in der Liste der ausgegebenen Zertifikate auswählen. Wenn das Zertifikat ursprünglich als Schlüsselring ausgegeben wurde, wird es nicht in dieser Liste angezeigt und kann daher auch nicht widerrufen werden.

Es wird daher dringend empfohlen, dass Sie sich bei jedem Zertifizierer für einen Typ entscheiden: CA-Prozess oder CA-Schlüsselring.

Zugehörige Konzepte
Serverbasierte Zertifizierungsstellen in Domino
SSL-Sicherheit
Übersicht über die Domino-Sicherheit

Zugehörige Tasks
Zertifizierer für serverbasierte Zertifizierungsstellen erstellen
Serverbasierte Zertifizierungsstelle in Domino einrichten