![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Authentifizierung
Durch Authentifizierung wird eine Identität sichergestellt.
- Digitale Signatur. Eine digitale Signatur ist eine eindeutige, mathematisch berechnete Signatur, die die Abrechenbarkeit sicherstellt. Die digitale Signatur ist mit einer Kreditkarte mit Foto vergleichbar. Wenn Sie die Identität der Person sicherstellen möchten, die Ihnen eine Nachricht sendet, überprüfen Sie das digitale Zertifikat des Absenders.
- Digitales Zertifikat. Ein digitales Zertifikat oder eine digitale ID ist mit einer Kreditkarte vergleichbar, die ein Bild
enthält, auf der der Bankpräsident den Arm um Sie legt.
Ein Händler vertraut Ihnen mehr, weil Sie nicht nur so aussehen, wie die Person auf dem Bild auf der Kreditkarte, sondern weil Ihnen auch der Bankpräsident
vertraut.
Ihr Vertrauen in die Authentizität des Absenders richtet sich danach, ob Sie einer Drittpartei, einer Person oder einer Institution, vertrauen, die den Absender zertifiziert. Die Drittpartei, die digitale Zertifikate ausstellt, ist eine so genannte Zertifizierungsstelle (CA, Certificate Authority) oder ein Zertifikatsunterzeichner.
Ein digitales Zertifikat enthält folgende Informationen:- den öffentlichen Schlüssel der zertifizierten Person,
- den Namen und die Adresse der zertifizierten Person oder Organisation (wird auch als definierter Name bezeichnet),
- die digitale Signatur der CA,
- das Ausgabedatum des Zertifikats,
- das Verfallsdatum des Zertifikats.
Sie geben Ihren definierten Namen im Rahmen der Zertifikatsanforderung an. Das digital signierte Zertifikat enthält Ihren definierten Namen und den definierten Namen der CA.
Sie können eines der folgenden Zertifikate anfordern:- Ein Serverzertifikat für kommerzielle Geschäfte im Internet, das Sie von VeriSign oder einer anderen CA erhalten. Eine Liste der unterstützten CAs finden Sie im Abschnitt "Ein Zertifikat von einem externen CA-Provider erwerben".
- Ein Serverzertifikat, das Sie für ein eigenes privates Webnetz erstellen.
CAs versenden ihren öffentlichen Schlüssel und definierten Namen zusammen, damit Benutzer sie ihren Web-Servern und Browsern als anerkanntes CA-Zertifikat hinzufügen können. Wenn Sie den öffentlichen Schlüssel und das Zertifikat einer CA als anerkanntes CA-Zertifikat festlegen, vertraut Ihr Server jedem, der ein Zertifikat dieser CA besitzt. Sie können viele anerkannte CAs für Ihren Server festlegen. IBM HTTP Server enthält standardmäßig mehrere anerkannte CA-Zertifikate.
Mit dem Dienstprogramm IBM® Key Management (ikeyman), das mit Ihrem Server bereitgestellt wird, können Sie anerkannte CAs hinzufügen und entfernen.
Mit der nativen z/OS-Schlüsselverwaltung (gskkyman) können Sie anerkannte CAs hinzufügen und entfernen.
Für eine sichere Kommunikation muss der Empfänger einer Übertragung der CA vertrauen, die das Senderzertifikat ausgestellt hat. Dies gilt auch, wenn der Empfänger ein Web-Server oder ein Browser ist. Wenn ein Sender eine Nachricht signiert, muss der Empfänger das entsprechende von der CA signierte Zertifikat und den öffentlichen Schlüssel als anerkanntes CA-Zertifikat festgelegt haben.