Secure Sockets Layer (SSL)

SSL (Secure Sockets Layer) ist ein System, mit dem Informationen, die über das Internet gesendet werden, automatisch verschlüsselt und beim Empfänger vor ihrer Verwendung wieder entschlüsselt werden. Auf diese Weise werden sensible Informationen wie Kreditkartennummern während der Übertragung über das Internet geschützt.

Caching Proxy verwendet SSL für den Schutz von Ersatzservern und für eine sichere Fernverwaltung. Nähere Informationen hierzu finden Sie in den folgenden Abschnitten. Mit SSL können auch Verbindungen zu Back-End-Servern (z. B. Inhalts- oder Anwendungsservern) und Datenübertragungen zwischen dem Proxy-Server und seinen Clients geschützt werden.

Für Forward-Proxy-Server unterstützt Caching Proxy die SSL-Tunnelung, bei der SSL umgangen wird und die bereits verschlüsselten Daten unverändert gesendet werden.

Der SSL-Handshake

Der SSL-Zugriffsschutz wird aktiviert, wenn eine Anforderung für eine sichere Verbindung von einer Maschine an eine andere gesendet wird, z. B. wenn ein Browser eine Anforderung an einen Ersatz-Proxy-Server sendet. Die Anforderungssyntax https:// anstelle von http:// teilt dem Browser mit, dass die Anforderung an Port 443 gesendet werden soll. Dies ist der Port, an dem der Server geschützte Verbindungsanforderungen empfängt (im Unterschied zu Port 80, an dem Routineanforderungen empfangen werden). Zum Aufbau einer sicheren Sitzung zwischen Browser und Server führen die beiden Maschinen einen Informationsaustausch aus, den so genannten SSL-Handshake. Mit diesem Austausch legen die beiden Parteien eine Verschlüsselungsspezifikation fest und wählen den Schlüssel aus, mit dem die Informationen ver- und entschlüsselt werden sollen. Die Schlüssel werden automatisch generiert und verfallen mit Beendigung der Sitzung. Im Folgenden wird ein typisches Szenario (mit SSL Version 3) beschrieben:

  1. Hello-Nachricht des Clients

    Der Client leitet eine SSL-Sitzung mit Caching Proxy ein, indem er eine Hello-Nachricht sendet, die die Verschlüsselungsfunktionen des Clients beschreibt.

  2. Hello-Nachricht des Servers

    Der Server sendet sein Zertifikat an den Client und wählt die Cipher Suite aus, die zur Datenverschlüsselung verwendet werden soll.

  3. Abschlussnachricht des Clients

    Der Client sendet die Informationen zum Chiffrierschlüssel, mit dem die symmetrischen Chiffrierschlüssel für die verschlüsselten Daten erstellt werden. Diese Schlüsselinformationen werden als Premaster Secret bezeichnet und sind mit dem öffentlichen Schlüssel des Servers (aus dem Serverzertifikat, siehe Schlüssel- und Zertifikatverwaltung) verschlüsselt. Server und Client können die symmetrischen Chiffrierschlüssel zum Lesen und Schreiben aus dem Premaster Secret abrufen.

  4. Abschlussnachricht des Servers

    Der Server sendet die Abschlussbestätigung und einen Nachrichtenauthentifizierungscode (Message Authentication Code, MAC) für das gesamte Handshake-Protokoll.

  5. Clientüberprüfung

    Der Client sendet eine Nachricht, um die Abschlussnachricht des Servers zu überprüfen.

  6. Sicherer Datenfluss

    Nachdem der Client die Abschlussnachricht des Servers überprüft hat, kann der verschlüsselte Datenfluss beginnen.

Mit einem Caching-Proxy-Server als Endpunkt für sichere Verbindungen können Sie die Arbeitslast auf Ihren Inhaltsservern und Anwendungsservern verringern. Wenn ein Caching-Proxy-Server eine sichere Verbindung verwaltet, ist er für die Verschlüsselung, Entschlüsselung und die Generierung der Schlüssel zuständig. Bei allen Vorgängen handelt es sich um CPU-intensive Operationen. Außerdem können Sie in Caching Proxy SSL-Sitzungszeitlimits konfigurieren, um eine möglichst lange Verwendung jedes Schlüssels zu gewährleisten.

Einschränkungen von SSL

In WebSphere Application Server Caching Proxy gelten folgende SSL-Einschränkungen:

SSL-Leistungsoptimierung

Bei hohem HTTPS-Datenverkehrsaufkommen kann der Caching-Proxy-Server eine hohe CPU-Belastung verursachen. Optimierungsänderungen an einer Umgebungsvariablen (GSK_V3_SIDCACHE_SIZE) und einer Proxy-Anweisung (SSLV3Timeout) können dem Proxy-Server helfen, die Last zu bewältigen und die CPU-Belastung zu reduzieren.

Die SSL-Sitzungs-ID identifiziert wiederverwendbare SSL-Sitzungen, einschließlich Ver- und Entschlüsselungsschlüsseln, die von Browsern und Servern verwendet werden, und wird verwendet, um unnötige SSL-Handshakes in neuen Verbindungen zu vermeiden, die viel CPU-Zeit des Servers verbrauchen. Die GSKit-Bibliothek für den Caching-Proxy-Server unterstützt SSL-Sitzungs-IDs und enthält einen Cache für SSL-Sitzungs-IDs. Standardmäßig enthält der Cache für SSL-Sitzungs-IDs 512 Einträge. Wenn das Eintragslimit erreicht ist, wird der älteste Sitzungseintrag entfernt und der neue Eintrag dem Cache hinzugefügt.

Verwenden Sie die Umgebungsvariable GSK_V3_SIDCACHE_SIZE, um die Standardgröße des Cache für SSL-Sitzungs-IDs zu ändern. Die gültigen Werte für diese Variable liegen zwischen 1 und 4096. Wenn Sie die Größe heraufsetzen, erhöht sich damit auch die Zeit, die zum Suchen einer zwischengespeicherten SSL-Sitzung erforderlich ist. Die erhöhte Suchzeit ist jedoch im Vergleich mit dem Aufwand für das Einrichten einer SSL-Verbindung unerheblich. Mit einem größeren Cache ist der Proxy-Server bei hohem HTTPS-Datenverkehrsaufkommen in der Lage, mehr SSL-Sitzungen gleichzeitig zu verarbeiten und die CPU-Belastung zu senken.

Caching Proxy besitzt außerdem eine optimierbare Anweisung "SSLV3Timeout". (Siehe SSLV3Timeout - Die Wartezeit vor dem Ablaufen einer SSLV3-Sitzung angeben.) Der Standardwert der Anweisung sind 1000 Sekunden. Diese Anweisung definiert die Lebensdauer einer SSL-Sitzung im Sitzungs-Cache. Wenn keine eingehende SSL-Verbindung eine vorhandene SSL-Sitzung verwendet und die Sitzungslebensdauer diesen Wert überschreitet, wird diese Sitzung aus dem Sitzungs-Cache entfernt. Es wird empfohlen, für den Wert von SSLV3Timeout die Dauer einer typischen sicheren Clientsitzung zu verwenden. Wenn ein zu kurzes Zeitlimit gewählt wird, kann dies die Leistung des Proxy-Servers beeinträchtigen, weil mehrere SSL-Handshake-Sitzungen erforderlich sind, um eine einzelne sichere Sitzung einzurichten. Wird jedoch ein zu hoher Wert gewählt, kann sich dies auch negativ auf die Sicherheit einer sicheren Sitzung auswirken.

SSL-Tunnelung

Dies gilt nur für Forward-Proxy-Konfigurationen.

Ist Caching Proxy als Forward Proxy konfiguriert, verwendet er die SSL-Tunnelung, um sichere Verbindungen zwischen Clients und Inhaltsservern zu unterstützen. Bei der SSL-Tunnelung werden verschlüsselte Daten unverändert über den Proxy-Server übergeben. Da der Proxy-Server die Daten nicht entschlüsselt, werden Funktionen, bei denen der Proxy-Server Anforderungen oder Dokument-Header lesen muss, von der SSL-Tunnelung nicht unterstützt. Außerdem werden im Tunnelungsverfahren übertragene Anforderungen nicht im Cache gespeichert.

Abb. 2 zeigt einen Verbindungsaufbau unter Verwendung der SSL-Tunnelung.

Abbildung 2. SSL-Tunnelung
SSL-Tunnelung

Die SSL-Tunnelung wird wie folgt ausgeführt:

  1. Der Client setzt die folgende Tunnelungsanforderung ab: CONNECT Server-Hostname:Port HTTP/1.1 (oder HTTP/1.0). Die Portnummer ist optional und lautet für gewöhnlich 443. Der Client-Browser sendet die CONNECT-Anforderung für jede HTTPS-Anforderung zuerst an den Proxy-Server, wenn der Forward Proxy im Browser konfiguriert ist.
  2. Der Proxy-Server akzeptiert die Verbindung an seinem Port 80, empfängt die Anforderung und stellt die Verbindung zum Zielserver auf dem vom Client angeforderten Port her.
  3. Der Proxy-Server teilt dem Client als Antwort mit, dass eine Verbindung hergestellt wurde.
  4. Der Proxy-Server gibt die SSL-Handshake-Nachrichten in beide Richtungen weiter: vom Client an den Zielserver und vom Zielserver an den Client.
  5. Nachdem der sichere Handshake abgeschlossen wurde, sendet und empfängt der Proxy-Server verschlüsselte Daten, die auf dem Client oder Zielserver entschlüsselt werden müssen.
  6. Fordert der Client oder der Zielserver das Schließen der Verbindung auf einem Port an, schließt der Proxy-Server beide Verbindungen (Port 443 und Port 80) und nimmt den normalen Betrieb wieder auf.

SSL-Tunnelung konfigurieren

In der Konfiguration als Forward Proxy ist nur die SSL-Tunnelung verfügbar. Um die SSL-Tunnelung zu aktivieren, wählen Sie in den Konfigurations- und Verwaltungsformularen Konfiguration des Proxy –> Einstellungen für Proxy aus. Wählen Sie das Markierungsfeld SSL-Tunnelung aus.

Für Verbindungen, die das SSL-Tunnelungsverfahren verwenden, muss die Methode CONNECT (die standardmäßig inaktiviert ist) ebenfalls aktiviert sein. Wählen Sie dazu in den Konfigurationsformularen Serverkonfiguration –> Anforderungsverarbeitung aus und rufen Sie das Formular HTTP-Methoden auf.

Für die Anweisung Enable CONNECT werden für die erweiterte Sicherheit bei der SSL-Tunnelung drei Optionen bereitgestellt: OutgoingPorts, OutgoingIPs und IncomingIPs. Sie müssen zumindest für OutgoingPorts einen Wert angeben, andernfalls wird die Methode CONNECT nicht aktiviert.

Weitere Informationen zum Aktivieren der SSL-Tunnelung und der CONNECT-Anweisungen durch Editieren der Konfigurationsdatei des Proxy-Servers finden Sie in den Referenzabschnitten zu den folgenden Anweisungen in Anhang B. Anweisungen in der Konfigurationsdatei:

Sichere Fernverwaltung konfigurieren

Die Fernverwaltung von Caching Proxy kann mit den SSL-Sicherheitsfunktionen (Secure Sockets Layer) und der Kennwortauthentifizierung durchgeführt werden. Dadurch verringert sich das Risiko, dass nicht autorisierte Personen auf den Proxy-Server zugreifen.

Wenn Sie für die Fernverwaltung Ihres Servers SSL einsetzen möchten, verwenden Sie zum Öffnen der Konfigurations- und Verwaltungsformulare eine https://-Anforderung anstelle einer http://-Anforderung. Beispiel:

https://Name.Ihres.Servers/IhreFrontPage.html

Schlüssel- und Zertifikatverwaltung

Vor der Konfiguration von SSL müssen Sie eine Schlüsseldatenbank einrichten und ein Zertifikat abrufen oder erstellen. Zertifikate dienen der Authentifizierung von Servern. Verwenden Sie zum Definieren Ihrer Zertifizierungsdateien das Dienstprogramm IBM Key Management (auch iKeyman genannt). Dieses Dienstprogramm ist Teil des Java Development Kit (JDK). iKeyman enthält außerdem eine Java-basierte Grafikschnittstelle zum Öffnen von Zertifikatsdateien.

Nachfolgend sind die grundlegenden Schritte zum Definieren der SSL-Schlüssel und Zertifikate beschrieben:

  1. Vergewissern Sie sich, dass Sie IBM JDK Version 1.6 oder höher vorliegen haben.
  2. Verwenden Sie IBM Key Management, um einen Schlüssel für sichere Netzübertragungen zu erstellen und das Zertifikat einer Zertifizierungsstelle zu empfangen. Während Sie auf dieses Zertifikat warten, können Sie ein selbst signiertes Zertifikat erstellen.
  3. Erstellen Sie eine Schlüsseldatenbank und legen Sie ein Kennwort für diese Datenbank fest.
Anmerkung:
Die Schlüsseldatei und die versteckt gespeicherte Schlüsseldatei werden deinstalliert, wenn Caching Proxy deinstalliert wird. Damit Sie nicht ein neues Zertifikat bei einer Zertifizierungsstelle anfordern müssen, sollten Sie Sicherungskopien dieser beiden Dateien in einem anderen Verzeichnis speichern, bevor Sie die Proxy-Software deinstallieren.

Wenn das Zertifikat abgelaufen ist, wird Caching Proxy auf allen Betriebssystemen mit Ausnahme von Linux nicht ordnungsgemäß gestartet, und es erscheint eine Fehlernachricht, die Sie darauf hinweist, dass die Schlüsseldatenbank verfallen ist. Unter Linux scheint der Proxy-Server zu starten, aber der Prozess wird sofort wieder beendet, und es wird keine Fehlernachricht generiert.

Sie können dieses Problem auf Systemen mit Red Hat Enterprise Linux 3.0 verhindern, indem Sie sicherstellen, dass die GCC-Paket die folgenden Versionen (oder höher) haben:

Zertifizierungsstellen

Ihrem öffentlichen Schlüssel muss ein digital signiertes Zertifikat einer Zertifizierungsstelle (CA) zugeordnet sein, die als vertrauenswürdige Stamm-CA auf Ihrem Server festgelegt ist. Sie können ein signiertes Zertifikat erwerben, indem Sie eine Zertifikatanforderung an den Provider der Zertifizierungsstelle (CA) senden. Caching Proxy unterstützt die folgenden externen Zertifizierungsstellen:

Standardmäßig sind die folgenden Zertifizierungsstellen als Trusted-CAs definiert:

Das Dienstprogramm IBM Key Management verwenden

Dieser Abschnitt enthält eine Kurzübersicht über die Verwendung des Dienstprogramms IBM Key Management (iKeyman). Mit diesem Dienstprogramm erstellen Sie Ihre SSL-Schlüsseldatenbankdatei, öffentlich-private Schlüsselpaare und Zertifikatanforderungen. Nachdem Sie das von der Zertifizierungsstelle signierte Zertifikat empfangen haben, legen Sie es mit IBM Key Management in der Schlüsseldatenbank ab, in der Sie die ursprüngliche Zertifikatanforderung erstellt haben.

Weitere ausführliche Informationen finden Sie in der Dokumentation zu IBM Key Management und GSKit, die der GSKit-Software beiliegt.

Das System für die Ausführung von IBM Key Management konfigurieren

Gehen Sie vor dem Start der GUI von IKeyman wie folgt vor:

  1. Installieren Sie IBM JDK version 1.6 oder höher. Sie können das mit dem Load-Balancer-Produkt gelieferte Java-Paket verwenden.
  2. Setzen Sie die Variable JAVA_HOME auf das Java-Verzeichnis. Beispiel:
  3. Registrieren Sie die Serviceprovider IBM JCE, IBM CMS und/oder IBMJCEFIPS.

    Aktualisieren Sie die Datei JAVA_HOME/jre/lib/security/java.security, indem Sie an den im Beispiel gezeigten Positionen die Providern IBM CMS und IBM JCE hinzufügen:

    security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.2=com.ibm.security.cmskeystore.CMSProvider
    security.provider.3=com.ibm.crypto.provider.IBMJCE
    security.provider.4=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.5=com.ibm.security.cert.IBMCertPath
  4. Zur Unterstützung von FIPS müssen Sie auch die Datei JAVA_HOME/jre/lib/security/java.security editieren und IBMJCEFIPS hinzufügen. Achten Sie darauf, , dass Sie den Provider IBMJCEFIPS mit einer höheren Priorität registrieren als IBMJCE. Beispiel:
    security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.2=com.ibm.security.cmskeystore.CMSProvider
    security.provider.3=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.4=com.ibm.crypto.provider.IBMJCE
  5. Optional: Wenn Sie Verschlüsselungshardware verwenden, registrieren Sie den Serviceprovider IBMPKCS11Impl. Beispiel:
    security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.2=com.ibm.security.cmskeystore.CMSProvider
    security.provider.3=com.ibm.crypto.fips.provider.IBMJCEFIPS
    security.provider.4=com.ibm.crypto.provider.IBMJCE
    security.provider.5=com.ibm.crypto.pkcs11Impl.provider.IBMPKCS11Impl
    security.provider.6=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.7=com.ibm.security.cert.IBMCertPath

IBM Key Management starten

Starten Sie die grafische Benutzerschnittstelle von Key Management, indem Sie das Tool iKeyman aus dem JDK ausführen. Verwenden Sie beispielsweise den folgenden Befehl:

/opt/ibm/edge/lb/java/jre/bin/ikeyman

Eine neue Schlüsseldatenbank, ein neues Kennwort und eine neue Datei zur Kennwortspeicherung erstellen

Bei einer Schlüsseldatenbank handelt es sich um eine Datei, in der der Server ein oder mehrere Schlüsselpaare und Zertifikate speichert. Für sämtliche Schlüsselpaare und Zertifikate können Sie entweder eine Schlüsseldatenbank verwenden oder mehrere Datenbanken erstellen. Mit dem Dienstprogramm IBM Key Management können Sie neue Schlüsseldatenbanken erstellen und die zugehörigen Kennwörter und Dateien zur Kennwortspeicherung festlegen.

So erstellen Sie eine Schlüsseldatenbank und eine Datei zur Kennwortspeicherung:

  1. Starten Sie IBM Key Management.
  2. Wählen Sie im Hauptmenü Schlüsseldatenbankdatei –> Neu aus.
  3. Im Dialogfenster Neu muss der Dateityp CMS-Schlüsseldatenbank ausgewählt sein. Geben Sie den Namen Ihrer Schlüsseldatenbank und die Dateiadresse ein oder bestätigen Sie die Standardeinstellung key.kdb. Klicken Sie auf OK.
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe das Kennwort für diese Datenbank ein und bestätigen Sie es. Klicken Sie auf OK.
  5. Wählen Sie das Markierungsfeld zum Speichern der Kennwortdatei aus. Geben Sie bei entsprechender Aufforderung ein Kennwort ein und bestätigen Sie es. Die folgende Nachricht wird angezeigt: DB-Typ: CMS-Schlüsseldatenbankdatei Name_der_Schlüsseldatenbank
    Anmerkung:
    Wenn Sie die Kennwortdatei nicht speichern, wird der Server zwar gestartet, aber er nimmt keine Anforderungen an Port 443 entgegen.

Das Kennwort, das Sie beim Erstellen einer neuen Schlüsseldatenbank angeben, schützt den privaten Schlüssel. Der private Schlüssel ist der einzige Schlüssel, der Dokumente signieren oder Nachrichten entschlüsseln kann, die mit dem öffentlichen Schlüssel verschlüsselt wurden.

Beachten Sie bei der Festlegung des Kennworts folgende Richtlinien:

Es wird empfohlen, das Kennwort der Schlüsseldatenbank regelmäßig zu ändern. Wenn Sie ein Verfallsdatum für das Kennwort festlegen, sollten Sie sich auf jeden Fall notieren, wann Sie das Kennwort ändern müssen. Sollten Sie das Verfallsdatum des Kennworts verpassen, wird eine Nachricht in das Fehlerprotokoll geschrieben. Der Server wird dann zwar gestartet, kann aber keine sicheren Netzverbindungen herstellen.

So ändern Sie das Kennwort für die Schlüsseldatenbank:

  1. Wählen Sie im Hauptmenü die Optionen Schlüsseldatenbankdatei –> Öffnen aus.
  2. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder übernehmen Sie die Standardeinstellung key.kdb. Klicken Sie auf OK.
  3. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr definiertes Kennwort ein und klicken Sie auf OK.
  4. Wählen Sie im Hauptmenü die Optionen Schlüsseldatenbankdatei –> Kennwort ändern aus.
  5. Geben Sie im Dialogfenster Kennwort ändern das Kennwort für diese Datenbank ein und bestätigen Sie es. Klicken Sie auf OK.

Wenn Sie zwischen einem Proxy-Server und einem LDAP-Server eine SSL-Verbindung herstellen möchten, müssen Sie das Kennwort für die Schlüsseldatenbank in der Datei pac_keyring.pwd speichern. (Die Datei pac_keyring.pwd ist nicht die verdeckte Datei, die von iKeyman generiert wird.)

Ein neues Schlüsselpaar und eine neue Zertifikatanforderung erstellen

In der Schlüsseldatenbank sind Schlüsselpaare und Zertifikatanforderungen gespeichert. So erstellen Sie ein öffentlich-privates Schlüsselpaar und eine Zertifikatanforderung:

  1. Wenn Sie die Schlüsseldatenbank noch nicht erstellt haben, befolgen Sie die Anweisungen im Abschnitt Eine neue Schlüsseldatenbank, ein neues Kennwort und eine neue Datei zur Kennwortspeicherung erstellen.
  2. Klicken Sie im Hauptmenü von IBM Key Management auf Schlüsseldatenbank –> Datei –> Öffnen.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein (oder klicken Sie auf key.kdb, falls Sie die Standardeinstellung verwenden möchten). Klicken Sie auf OK.
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Hauptmenü die Optionen Erstellen –> Neue Zertifikatanfrage aus.
  6. Geben Sie im Dialogfenster Neue Schlüssel- und Zertifikatanfrage Folgendes an:
  7. Klicken Sie auf OK. Eine Bestätigungsnachricht wie die Folgende wird angezeigt:
    Eine neue Zertifikatanfrage wurde erfolgreich 
    in der Datei Name_der_Schlüsseldatenbankname erstellt.
  8. Klicken Sie auf OK. Der von Ihnen eingegebene Name wird daraufhin unter der Überschrift Persönliche Zertifikatanfrage angezeigt.
  9. Klicken Sie im Dialogfenster Information auf OK. Sie werden daran erinnert, die Datei an eine Zertifizierungsstelle zu senden.
  10. Wenn Sie kein selbst signiertes Zertifikat erstellt haben (ausführliche Informationen dazu finden Sie im nächsten Abschnitt, "Selbst signiertes Zertifikat erstellen"), senden Sie die Zertifikatanforderung an die Zertifizierungsstelle: Die Bearbeitung von Zertifikatanforderungen kann unter Umständen zwei bis drei Wochen dauern. Während Sie auf die Bearbeitung Ihrer Zertifikatanforderung durch die Zertifizierungsstelle warten, können Sie als Ihre eigene Zertifizierungsstelle auftreten und mit iKeyman ein selbst signiertes Serverzertifikat erstellen, damit Sie SSL-Sitzungen zwischen Clients und dem Caching-Proxy-Server aufbauen können.

Selbst signiertes Zertifikat erstellen

Erstellen Sie mit IBM Key Management ein selbst signiertes Serverzertifikat, um damit SSL-Sitzungen zwischen Clients und dem Proxy-Server zu aktivieren, während Sie auf die Ausstellung des angeforderten Zertifikats warten. Außerdem können Sie selbst signierte Zertifikate zu Testzwecken verwenden.

Gehen Sie wie folgt vor, um ein selbst signiertes Zertifikat zu erstellen:

  1. Wenn Sie die Schlüsseldatenbank noch nicht erstellt haben, befolgen Sie die Anweisungen im Abschnitt Eine neue Schlüsseldatenbank, ein neues Kennwort und eine neue Datei zur Kennwortspeicherung erstellen.
  2. Klicken Sie im Hauptmenü von IBM Key Management auf Schlüsseldatenbank –> Datei –> Öffnen.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein (oder übernehmen Sie die Standardeinstellung key.kdb). Klicken Sie auf OK.
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Inhaltsrahmen Schlüsseldatenbank die Option Persönliche Zertifikate aus und klicken Sie auf Neues selbst signiertes Zertifikat erstellen.
  6. Legen Sie im Fenster Neues selbst signiertes Zertifikat erstellen Folgendes fest:
  7. Klicken Sie auf OK.
  8. Registrieren Sie die Schlüsseldatenbank bei dem Server, indem Sie die Schlüsseldatei und die Datei zur Kennwortspeicherung (Stash-Datei) zu den Konfigurationseinstellungen hinzufügen (siehe Abschnitt Eine neue Schlüsseldatenbank, ein neues Kennwort und eine neue Datei zur Kennwortspeicherung erstellen).

Schlüssel exportieren

So exportieren Sie Schlüssel in eine andere Schlüsseldatenbank:

  1. Starten Sie IBM Key Management.
  2. Wählen Sie im Hauptmenü die Optionen Schlüsseldatenbankdatei –> Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein (oder übernehmen Sie die Standardeinstellung key.kdb). Klicken Sie auf OK.
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Inhaltsrahmen Schlüsseldatenbank die Option Persönliche Zertifikate aus und klicken Sie anschließend auf Export/Import.
  6. Führen Sie im Fenster Schlüssel exportieren/importieren folgende Schritte aus:
  7. Klicken Sie auf OK.
  8. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe das richtige Kennwort ein. Geben Sie es anschließend zur Bestätigung erneut ein und klicken Sie dann auf OK, um den ausgewählten Schlüssel in eine andere Schlüsseldatenbank zu exportieren.

Schlüssel importieren

So importieren Sie Schlüssel aus einer anderen Schlüsseldatenbank:

  1. Starten Sie IBM Key Management.
  2. Wählen Sie im Hauptmenü die Optionen Schlüsseldatenbankdatei –> Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein (oder übernehmen Sie die Standardeinstellung key.kdb). Klicken Sie auf OK.
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Inhaltsrahmen Schlüsseldatenbank die Option Persönliche Zertifikate aus und klicken Sie anschließend auf Export/Import.
  6. Führen Sie im Fenster Schlüssel exportieren/importieren folgende Schritte aus:
  7. Klicken Sie auf OK.
  8. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr Kennwort ein und klicken Sie auf OK.
  9. Wählen Sie in der Liste Schlüsselname den richtigen Namen aus und klicken Sie auf OK.

Zertifizierungsstellen auflisten

So können Sie eine Liste mit vertrauenswürdigen Zertifizierungsstellen (Trusted-CAs) in einer Schlüsseldatenbank anzeigen:

  1. Starten Sie IBM Key Management.
  2. Wählen Sie im Hauptmenü die Optionen Schlüsseldatenbankdatei –> Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein (oder übernehmen Sie die Standardeinstellung key.kdb). Klicken Sie auf OK.
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Inhaltsrahmen Schlüsseldatenbank die Option Zertifikate des Unterzeichners aus.
  6. Klicken Sie auf Zertifikate des Unterzeichners, Persönliche Zertifikate oder Zertifikatanforderungen, um im Fenster Schlüsselinformationen eine Liste der Zertifizierungsstellen anzuzeigen.

Ein von einer Zertifizierungsstelle signiertes Zertifikat empfangen

Gehen Sie wie folgt vor, um ein Zertifikat zu empfangen, das Sie per E-Mail von einer Zertifizierungsstelle erhalten haben, die standardmäßig als Trusted-CA definiert ist (siehe die Liste im Abschnitt Zertifizierungsstellen). Wenn es sich bei der Zertifizierungsstelle (CA), die Ihr Zertifikat ausstellt, nicht um eine in der Schlüsseldatenbank gespeicherte vertrauenswürdige Zertifizierungsstelle handelt, müssen Sie zunächst das Zertifikat dieser Instanz speichern und die CA als vertrauenswürdige CA festlegen. Anschließend können Sie Ihr von der CA signiertes Zertifikat in die Datenbank laden. Sie können kein signiertes Zertifikat von einer Zertifizierungsstelle empfangen, die nicht als vertrauenswürdig eingestuft wurde (siehe Abschnitt Ein CA-Zertifikat speichern).

So laden Sie das von der Zertifizierungsstelle signierte Zertifikat in eine Schlüsseldatenbank:

  1. Starten Sie IBM Key Management.
  2. Wählen Sie im Hauptmenü die Optionen Schlüsseldatenbankdatei –> Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein (oder übernehmen Sie die Standardeinstellung key.kdb). Klicken Sie auf OK.
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr Kennwort ein und klicken Sie auf OK.
  5. Vergewissern Sie sich, dass der Dateiname in der Liste der Datenbanktypen richtig ist.
  6. Wählen Sie im Fenster Schlüsseldatenbank die Option Persönliche Zertifikate aus und klicken Sie anschließend auf Empfangen.
  7. Geben Sie im Dialogfenster Zertifikat aus Datei empfangen im Textfeld Dateiname des Zertifikats den Namen einer gültigen Datei mit 64-Bit-Verschlüsselung ein. Klicken Sie auf OK.
  8. Zum Schließen des Dienstprogramms IBM Key Management klicken Sie im Hauptmenü auf Schlüsseldatenbankdatei –> Beenden.

Ein CA-Zertifikat speichern

Zum Aufbau sicherer Verbindungen werden nur Zertifikate akzeptiert, die von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden. Wenn Sie der Liste der vertrauenswürdigen Stellen eine Zertifizierungsstelle hinzufügen möchten, müssen Sie ihr Zertifikat abrufen und als vertrauenswürdig abspeichern. Gehen Sie wie folgt vor, um ein Zertifikat von einer neuen Zertifizierungsstelle zu speichern:

  1. Starten Sie IBM Key Management.
  2. Wählen Sie im Hauptmenü die Optionen Schlüsseldatenbankdatei –> Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein (oder übernehmen Sie die Standardeinstellung key.kdb). Klicken Sie auf OK.
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Inhaltsrahmen Schlüsseldatenbank die Option Zertifikate des Unterzeichners aus und klicken Sie auf Hinzufügen.
  6. Wählen Sie im Dialogfenster CA-Zertifikat aus Datei hinzufügen den Namen der 64-Bit-verschlüsselten ASCII-Zertifikatdatei aus oder verwenden Sie dazu die Option Durchsuchen. Klicken Sie auf OK.
  7. Geben Sie im Dialogfenster Name einen Namen ein und klicken Sie auf OK.
  8. Kennzeichnen Sie das Zertifikat als vertrauenswürdig, indem Sie das Markierungsfeld auswählen (Standardeinstellung).
    Anmerkung:
    Sie können das Markierungsfeld nach dem Erstellen des Zertifikats anzeigen, indem Sie die Schaltfläche "Anzeigen/Bearbeiten" anklicken. Das Markierungsfeld ist in der Anzeige enthalten, wird jedoch erst nach dem Hinzufügen des Zertifikats angezeigt.

Standardschlüssel in einer Schlüsseldatenbank anzeigen

Gehen Sie wie folgt vor, um den Eintrag für den Standardschlüssel anzuzeigen:

  1. Starten Sie IBM Key Management.
  2. Wählen Sie im Hauptmenü die Optionen Schlüsseldatenbankdatei –> Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein (oder übernehmen Sie die Standardeinstellung key.kdb). Klicken Sie auf OK.
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Inhaltsrahmen Schlüsseldatenbank die Option Persönliche Zertifikate aus und wählen Sie den Namen des CA-Zertifikats aus.
  6. Klicken Sie im Fenster Schlüsselinformationen auf Anzeigen/Bearbeiten, um die Standardschlüsselinformationen des Zertifikats anzuzeigen.

Unterstützte Verschlüsselungsspezifikationen

In der folgenden Tabelle sind die Verschlüsselungsalgorithmen und Hash-Verfahren aufgeführt, die für die SSL-Versionen 2 und 3 verwendet werden.

Generierung von Schlüsselpaaren: RSA 512–1024 (Größe von privaten Schlüsseln)

SSL Version 2

US-Version Exportversion
RC4 US RC4 Export
RC2 US RC2 Export
DES 56-Bit nicht zutreffend
Triple DES US nicht zutreffend
RC4 Export nicht zutreffend
RC2 Export nicht zutreffend

SSL Version 3

US-Version Exportversion
Triple DES SHA US DES SHA Export
DES SHA Export RC2 MD5 Export
RC2 MD5 Export RC4 MD5 Export
RC4 SHA US NULL SHA
RC4 MD5 US NULL MD5
RC4 MD5 Export NULL NULL
RC4 SHA 56-Bit nicht zutreffend
DES CBC SHA nicht zutreffend
NULL SHA nicht zutreffend
NULL MD5 nicht zutreffend
NULL NULL nicht zutreffend

Diese SSL-Spezifikationen können auch direkt durch Editieren der Konfigurationsdatei des Proxy-Servers konfiguriert werden. Einzelheiten hierzu finden Sie in Anhang B. Anweisungen in der Konfigurationsdatei in den Referenzabschnitten zu den folgenden Anweisungen:

128-Bit-Verschlüsselung für Caching Proxy

Es wird nur eine 128-Bit-Verschlüsselungsversion von Caching Proxy bereitgestellt. Die 56-Bit-Version ist nicht mehr verfügbar. Wenn Sie eine ältere Version aktualisieren, können Sie Caching Proxy direkt in Ihrer derzeit installierten 128-Bit- oder 56-Bit-Version installieren. Falls Sie vorher einen 56-Bit-Browser (Export) verwendet haben, müssen Sie einen Upgrade auf einen 128-Bit-Browser durchführen, damit Sie die 128-Bit-Verschlüsselung im Proxy-Server nutzen können.

Falls nach dem Upgrade von einer 56-Bit-Version von Caching Proxy auf die 128-Bit-Version die für die Verschlüsselung von Zertifikaten verwendete Schlüsselgröße auf 1024 gesetzt ist, müssen keine Änderungen an der Konfiguration vorgenommen werden. Ist die Schlüsselgröße auf 512 gesetzt, müssen Sie neue Zertifikate mit einer Schlüsselgröße von 1024 erstellen, damit Sie die 128-Bit-Verschlüsselung des Proxy-Servers nutzen können. Erstellen Sie neue Schlüssel mit dem Dienstprogramm IBM Key Management (iKeyman).

  1. Starten Sie IBM Key Management. Verwenden Sie beispielsweise den folgenden Befehl:
    /opt/ibm/edge/lb/java/jre/bin/ikeyman
  2. Wählen Sie im Hauptmenü die Optionen Schlüsseldatenbankdatei –> Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein (oder klicken Sie auf key.kdb, wenn Sie die Standardeinstellung übernehmen möchten). Klicken Sie dann auf OK.
  4. Wird das Dialogfenster Aufforderung zur Kennworteingabe angezeigt, geben Sie Ihr Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Hauptmenü die Optionen Erstellen –> Neue Zertifikatanforderung erstellen aus.
  6. Legen Sie im Fenster Neuen Schlüssel und neue Zertifikatanforderung erstellen Folgendes fest:
  7. Klicken Sie auf OK.

Eine detaillierte Beschreibung des Dienstprogramms IBM Key Management finden Sie im Abschnitt Schlüssel- und Zertifikatverwaltung.

Beachten Sie, dass diese Produktversion unter SUSE Linux keine Verschlüsselung unterstützt.