Binäres X.509-Sicherheitstoken

Ein binäres X.509-Sicherheitstoken ist eine base64-codierte Darstellung eines öffentlichen X.509-Zertifikats.

In der folgenden Tabelle ist der Tokentyp X.509 beschrieben.

Tokentyp X.509 Beschreibung
X.509 Version 1 Enthält nur das öffentliche X.509-Zertifikat.
X.509 Version 3 Enthält nur das öffentliche X.509-Zertifikat.
PKIPath Enthält eine geordnete Liste der in einem PKIPath gepackten öffentlichen X.509-Zertifikate. Der Tokentyp X509PKIPathv1 kann zur Darstellung eines Zertifikatspfads verwendet werden.
PKCS7 Enthält eine Liste von X.509-Zertifikaten und optional Zertifikatswiderrufslisten, die in einen PKCS#7-Wrapper gepackt sind. Das PKCS7-Token kann zur Darstellung eines Zertifikatspfads verwendet werden.

X.509-Token werden im Allgemeinen verwendet, um eine SOAP-Nachricht mit digitaler XML-Signatur oder XML-Verschlüsselung zu schützen. Das X.509-Token kann auch als Authentifizierungstoken verwendet werden, obwohl dies nicht empfohlen wird.

X.509-Token zur Authentifizierung verwenden

Wenn Sie ein Token authentifizieren, prüfen Sie, ob der Sender eines Tokens tatsächlich der ist, als der er sich ausgibt. Dazu werden in der Nachricht gesendete öffentliche Informationen verwendet, z. B. eine Benutzer-ID, und auf bestimmte Weise mit privaten Informationen verifiziert, die nur den Benutzern bekannt sind.

Ein einfaches Beispiel ist die Authentifizierung eines Benutzernamentokens (UsernameToken), bei der der Benutzername und das Kennwort in einer SOAP-Nachricht übermittelt und anhand der Benutzerregistry am Endpunkt geprüft werden.

Für ein X.509-Zertifikat sind die öffentlichen Informationen der öffentliche Schlüssel/DN und die privaten Informationen sind der private Schlüssel. Anders als das Kennwort für ein Benutzernamenstoken wird der private Schlüssel nicht in der Nachricht gesendet.

Wird ein X.509-Token zum Signieren einer Nachricht verwendet, findet der folgende Prozess statt:
  1. Wenn Trust (Anerkennung) aktiviert ist, wird das Zertifikat anhand des Truststore und des Zertifikatsspeichers ausgewertet, sofern diese konfiguriert sind. Dadurch werden Trustfehler, Fehler bei der Zertifikatskette, Fehler beim Zertifikatswiderruf und Zertifikatsablauf usw. abgefangen. Beispielsweise kann ein Truststore spezifische DNs enthalten, die explizit für die einzelnen Zertifikate gelten, oder er kann lediglich eine Rootzertifizierungsstelle enthalten, damit alle von dieser Zertifizierungsstelle ausgestellten Zertifikate anerkannt werden, aber keine anderen.
  2. Die Laufzeit prüft, ob der private Schlüssel des Nachrichtensenders dem Zertifikat zugeordnet ist, indem die Signatur verifiziert wird. Kann die Signatur nicht verifiziert werden, liegt eine der folgenden Bedingungen vor:
    1. Die Nachricht wurde mit einem privaten Schlüssel signiert, der nicht mit dem öffentlichen Schlüssel in der Nachricht übereinstimmt.
    2. Die Nachricht wurde nach dem Senden modifiziert.

Nachdem die Signatur verifiziert wurde, wissen Sie, dass der Sender der Nachricht der Inhaber des privaten Schlüssels ist. Somit wissen Sie, dass er der ist, als der er sich ausgibt.

Wenn Sie ein X.509-Token in einer Nachricht übermitteln, ohne die Nachricht mit dem privaten Schlüssel zu signieren, wird Schritt 2 nicht ausgeführt. Sie verifizieren nicht, ob der Nachrichtensender der Inhaber des privaten Schlüssels ist bzw. ob er der ist, als der er sich ausgibt. Wenn Sie eine Nachricht signieren, führen Sie einen Schritt aus, den nur der Inhaber des privaten Schlüssels ausführen kann.

Ein ungeschütztes X.509-Token (d. h. das x.509-Token wurde nicht zum Signieren der Nachricht verwendet) kann das System wie folgt gefährden:
  • Eine gültige Nachricht wird abgefangen und das X.509-Token wird durch das eines Angreifers in der Nachricht ersetzt.

Es wird davon abgeraten, ein ungeschütztes X.509-Token in einer Nachricht zu senden. Wenn ein X.509-Token zur Authentifizierung verwendet werden soll, wird empfohlen, ein X.509-Token in der Nachricht zu senden und dieses X.509-Token für die digitale Signatur und für die Authentifizierung mit einer Callerkonfiguration zu verwenden. In den Caller-Einstellungen wird die Referenz des signierten Abschnitts verwendet.

In der folgenden Tabelle sind die X.509-Tokenwertetypen beschrieben.

X.509-Tokentyp Werttyp
X.509 Version 1 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509
X.509 Version 3 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3
PKIPath http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
PKCS7 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_binarysectokenx509
Dateiname:cwbs_binarysectokenx509.html