CA-Dienstprogramm des IBM HTTP Server verwenden

  • Übersicht über die CA-Optionen
  • Einführung
  • WebSphere Application Server installieren
  • Angabe erforderlicher MIME-Typen in der Server-Konfigurationsdatei sicherstellen
  • Schlüsseldatenbanken und Zertifikate mit IKEYMAN erstellen
  • CA-Schlüsseldatenbank und Zertifikat in das Verzeichnis des CA-Dienstprogramms kopieren
  • CA-Schlüsseldatenbank in das CA-Dienstprogramm exportieren
  • Auf das CA-Dienstprogramm des IBM HTTP Server zugreifen
  • CA des HTTP Server zur Verarbeitung von Client- und Server-Zertifikaten verwenden
  • Übersicht über den CA-Prozess
  • Administrator-Tasks
  • CA-Schlüsseldatenbank exportieren
  • Zertifikatanforderung verarbeiten
  • Benutzer-Tasks
  • CA-Zertifikat in einen Web-Browser herunterladen
  • Browser-Zertifikat anfordern
  • Genehmigtes Browser-Zertifikat empfangen
  • Web-Master-Tasks
  • CA-Zertifikat für einen anderen Server herunterladen
  • Server-Zertifikat anfordern
  • Genehmigtes Server-Zertifikat empfangen
  • Zugehörige Informationen
  • Übersicht über die CA-Optionen

    IBM empfiehlt zur Durchführung kommerzieller Geschäfte im Internet den Erwerb eines Zertifikats für Sicherheits-Server (Secure Server Certificate) von einer externen Zertifizierungsstelle (Certificate Authority) wie VeriSign. Eine Liste der unterstützten CAs finden Sie im Abschnitt Zertifizierungsstellen.

    Wenn Sie als eigene CA auftreten, können Sie Ihre eigenen und die Zertifikatanforderungen anderer Benutzer unterzeichnen. Dieser Weg empfiehlt sich, wenn Sie die Zertifikate nur in Ihrem privaten Web-Netzwerk und nicht für Geschäfte im Internet benötigen. Clients müssen über einen Browser wie Netscape Navigator oder Microsoft Internet Explorer verfügen, der CA-Zertifikate empfangen und sie als Trusted-CA festlegen kann.

    Um als eigene CA aufzutreten, können Sie entweder die Dienstprogramme zur Verwaltung der Server-Schlüssel (IKEYMAN und HTTP Server CA) verwenden oder die CA-Software eines CA-Anbieters kaufen.

    Anmerkung: Wenn Sie schätzungsweise mehr als 250 Zertifikate verwalten müssen, sollten Sie besser die Software bei einem CA-Anbieters kaufen. Die Einschränkung ergibt sich aus der Anzahl der Zertifikatanforderungen, die in der CA-Schlüsseldatenbank gespeichert werden können. Bei mehr als 250 Zertifikatanforderungen ist die Leistung des Dienstprogramms sehr gering.

    Einführung

    WebSphere Application Server installieren

    Vor Verwendung des CA-Dienstprogramms des HTTP Server müssen Sie den WebSphere Application Server als Servlet-Steuerkomponente installieren.

    Installationsanweisungen finden Sie im Handbuch WebSphere Application Server Getting Started V2. Sie können über die Website des WebSphere Application Server auf dieses Handbuch und alle weiteren Dokumentationen zum Application Server zugreifen.

    Angabe erforderlicher MIME-Typen in der Server-Konfigurationsdatei sicherstellen

    Zum ordnungsgemäßen Herunterladen von Client-Zertifikaten müssen die folgenden Anweisungen "AddType" und MIME-Typen in der Server-Konfigurationsdatei hinzugefügt werden:

    AddType .cer application/x-x509-user-cert 7bit  0.5 #Benutzerzertifikat
    AddType .der application/x-x509-ca-cert  binary 1.0 #Browser-CA-Zertifikat
    

    Diese MIME-Typen sind in der Standardkonfigurationsdatei des Servers enthalten:

    Schlüsseldatenbanken und Zertifikate mit IKEYMAN erstellen

    Vor der Verwendung des CA-Dienstprogramms erstellen Sie mit dem Dienstprogramm IKEYMAN Ihre Server- und CA-Schlüsseldatenbanken, Ihr Server-Zertifikat und Ihr selbstunterzeichnetes CA-Zertifikat. Anweisungen finden Sie im Abschnitt Selbstunterzeichnete Zertifikate erstellen.

    Anmerkung: Als Administrator können Sie festlegen, dass CA-Zertifikatanforderungen nach ihrer Übertragung automatisch verarbeitet werden. Wenn die automatische Verarbeitung festgelegt wird, müssen Sie die einzelnen Zertifikatanforderungen nicht manuell verarbeiten. Wenn Sie die automatische Verarbeitung verwenden möchten, erstellen Sie eine versteckte Datei für das Kennwort der CA-Schlüsseldatenbank, wenn Sie Ihre CA-Schlüsseldatenbank mit IKEYMAN konfigurieren.

    CA-Schlüsseldatenbank und Zertifikat in das Verzeichnis des CA-Dienstprogramms kopieren

    Nach der Erstellung Ihrer CA-Schlüsseldatenbank und Ihres selbstunterzeichneten CA-Zertifikats kopieren Sie die Datei "cakey.kdb" in das Verzeichnis des CA-Dienstprogramms.

    Sie können optional festlegen, dass das verschlüsselte Kennwort für die CA-Schlüsseldatenbank in einer versteckten Datei gespeichert wird. Wenn sich die versteckte Datei in demselben Verzeichnis wie die Datei mit der CA-Schlüsseldatenbank (cakey.kdb) befindet, werden alle Zertifikate, die zur Unterzeichnung durch das CA-Dienstprogramm gesendet werden, automatisch genehmigt. Wenn Sie eine versteckte Datei (cakey.sth) erstellen, kopieren Sie diese Datei in dasselbe Verzeichnis wie die Datei "cakey.kdb".

    CA-Schlüsseldatenbank in das CA-Dienstprogramm exportieren

    Die Datei cakey.kdb auf dem Server muss in einem Format, das von Clients und Server verwendet werden kann, in das CA-Dienstprogramm exportiert werden. Detaillierte Anweisungen dazu finden Sie im Abschnitt CA-Schlüsseldatenbank exportieren.

    Auf das CA-Dienstprogramm des IBM HTTP Server zugreifen

    Rufen Sie für den Zugriff auf das CA-Dienstprogramm des HTTP Server die folgende URL-Adresse auf:

     http://Name.Ihres.Servers/CAServlet/Welcome.html
    

    HTTP Server CA zur Verarbeitung von Client- und Server-Zertifikaten verwenden

    Übersicht über den CA-Prozess

    Ihre Aufgabe als CA besteht darin zu überprüfen, ob ein Zertifikat für einen Client oder Server ausgestellt werden kann. Sie müssen sicherstellen, dass die Person, die die Anforderung stellt, auch tatsächlich berechtigt ist, das Zertifikat anzufordern. Nach dieser Berechtigungsüberprüfung können Sie mit dem CA-Dienstprogramm des HTTP Server unterzeichnete Zertifikate erstellen.

    Die Eingabe für diesen Prozess ist eine Client- oder Server-Zertifikatanforderung. Die Ausgabe ist ein mit Ihrem privaten Schlüssel unterzeichnetes Zertifikat.

    Nach der Verarbeitung des Client- oder Server-Zertifikats gehen Sie wie folgt vor:

    1. Teilen Sie dem Client oder Server mit, das CA-Zertifikat herunterzuladen. Detaillierte Schritte dazu finden Sie im Abschnitt CA-Zertifikat in einen Web-Browser herunterladen und CA-Zertifikat für einen anderen Server herunterladen.

    2. Teilen Sie dem Client oder Server mit, das von Ihnen unterzeichnete Zertifikat (von der CA unterzeichnete Zertifikat) herunterzuladen und es in der Client- bzw. Server-Schlüsseldatenbank zu empfangen. Detaillierte Schritte dazu finden Sie im Abschnitt Genehmigtes Browser-Zertifikat empfangen und Genehmigtes Server-Zertifikat empfangen.

    Nach Ausführung dieser Schritte kann der Client oder Server sein von der CA unterzeichnetes Zertifikat verwenden, um sicher mit anderen HTTP-Servern und Web-Browsern im Ihrem privaten Web-Netzwerk zu kommunizieren.

    Administrator-Tasks

    CA-Schlüsseldatenbank exportieren

    Gehen Sie wie folgt vor, um die CA-Schlüsseldatenbank (cakey.kdb) auf dem Server in einem Format zu exportieren, das von Browsern und Servern verwendet werden kann. Sie müssen diese Schritte nach der Erstkonfiguration Ihrer CA nicht wiederholen.

    Anmerkung: Bevor Sie das CA-Dienstprogramm verwenden können, müssen Sie die Datei "cakey.kdb" zuerst mit dem Dienstprogramm IKEYMAN erstellen. Anweisungen finden Sie im Abschnitt Selbstunterzeichnete Zertifikate erstellen.

    Gehen Sie zum Exportieren der Datei mit Ihrer CA-Schlüsseldatenbank für Browser und Server wie folgt vor:

    1. Rufen Sie die folgende URL-Adresse auf:
      http://Name.Ihres.Servers/CAServlet/Welcome.html
      

    2. Klicken Sie auf der Titelseite des Dienstprogramms auf Administration, um auf die Seite "Administration Tasks" zuzugreifen.

    3. Wählen Sie Export CA keys for browsers aus und geben Sie das Kennwort für Ihre CA-Schlüsseldatenbank ein.

    4. Klicken Sie auf Process Now. Daraufhin wird eine Datei mit dem Namen cakey.der erstellt. Sie müssen eine Nachricht erhalten, in der der erfolgreiche Export des CA-Schlüssels bestätigt wird.

    5. Wählen Sie auf der Seite "Administration Tasks" die Option Export CA keys for servers aus und geben Sie das Kennwort für Ihre CA-Schlüsseldatenbank ein.

    6. Klicken Sie auf Process Now. Daraufhin wird eine Datei mit dem Namen "cakey.txt" erstellt. Sie müssen eine Nachricht erhalten, in der der erfolgreiche Export des CA-Schlüssels bestätigt wird.

    Zertifikatanforderung verarbeiten

    Anmerkungen:

    1. Wenn Sie eine versteckte Datei mit dem Kennwort für Ihre CA-Schlüsseldatenbank (cakey.sth) erstellt haben, werden alle Browser- und Server-Zertifikatanforderungen automatisch genehmigt.

    2. Stellen Sie sicher, dass die Zertifikatanforderungen über eine Sicherheitsverbindung verarbeitet werden.

    Gehen Sie zum Verarbeiten von Zertifikatanforderungen von Browsern und Servern wie folgt vor:

    1. Rufen Sie die folgende URL-Adresse auf:
      http://Name.Ihres.Servers/CAServlet/Welcome.html
      

    2. Klicken Sie auf der Titelseite des Dienstprogramms auf Administration, um auf die Seite "Administration Tasks" zuzugreifen.

    3. Wählen Sie Process pending requests oder Process all requests aus und klicken Sie dann auf Process now.

      Wenn Anforderungen anstehen, gehen Sie wie folgt vor:

      Sie können eine Aktion für eine oder mehrere Anforderungen ausführen.

    4. Klicken Sie auf Process. Sie müssen eine Nachricht erhalten, in der die erfolgreiche Aktualisierung der Zertifikatdatenbank bestätigt wird.

    Detailliertere Anweisungen erhalten Sie durch Klicken auf Hilfe.

    Benutzer-Tasks

    CA-Zertifikat in einen Web-Browser herunterladen

    Bevor Sie ein durch das CA-Dienstprogramm des HTTP Server unterzeichnetes Browser-Zertifikat akzeptieren können, müssen Sie zuerst das CA-Zertifikat, das vom CA-Dienstprogramm des HTTP Server als Trusted-CA für Ihren Browser ausweist, herunterladen.

    Gehen Sie zum Herunterladen eines CA-Zertifikats wie folgt vor:

    1. Rufen Sie die folgende URL-Adresse auf:
      http://Name.Ihres.Servers/CAServlet/Welcome.html
      

    2. Klicken Sie unter "Browser Certificates" auf Download CA certificate from the Webserver.

    3. Folgen Sie den Anweisungen zum Herunterladen der Datei cakey.der auf Ihre Workstation.

    Nach dem Herunterladen des CA-Zertifikats definieren Sie es als ein von Ihrem Browser anerkanntes Zertifikat (Trusted) und markieren Sie es als Standardzertifikat in Ihrer Betriebsschlüsseldatenbank. Wenn Sie das CA-Zertifikat als Trusted-CA Ihres Browsers definiert haben, müssen Sie diese Prozedur nicht mehr ausführen.

    Browser-Zertifikat anfordern

    Gehen Sie zum Anfordern eines Browser-Zertifikats von der CA Ihres privaten Netzwerkes wie folgt vor:

    1. Rufen Sie die folgende URL-Adresse auf:
      http://Name.Ihres.Servers/CAServlet/Welcome.html
      

    2. Klicken Sie unter "Browser Certificates" auf Request a browser certificate.

    3. Geben Sie im Feld "Common Name" einen Namen Ihrer Wahl ein. Notieren Sie diesen Namen, weil Sie ihn später beim Empfangen Ihres unterzeichneten Zertifikats wieder benötigen.

    4. Geben Sie Ihr Kennwort im Feld "Challenge Phrase" ein. Sie müssen dieses Kennwort später beim Herunterladen des genehmigten Zertifikats angeben.

    5. Füllen Sie alle erforderlichen Felder aus. Zusätzliche Informationen erhalten Sie durch Klicken auf Help.

    6. Klicken Sie auf Submit Requests, um das ausgefüllte Formular zur Genehmigung an die CA zu senden. Die Generierung eines privaten Schlüssels wird in Ihrem Browser gestartet. Dieser private Schlüssel wird dann zusammen mit dem angeforderten Zertifikat verwendet.

    7. Klicken Sie in Ihrem Browser auf OK, um den privaten Schlüssel zu erstellen.

    Je nach Administratorkonfiguration wird Ihre Anforderung entweder automatisch oder erst nach Prüfung durch den Administrator genehmigt. Bei der automatischen Genehmigung erhalten Sie keine Nachrichten, in denen die Genehmigung der Anforderung bestätigt wird. Sie können sofort das Formular Receiving an approved browser certificate aufrufen und diese Prozedur ausführen.

    Wenn Ihr Administrator die manuelle Genehmigung konfiguriert hat, erhalten Sie eine Nachricht, in der bestätigt wird, dass die Zertifikatanforderung akzeptiert wurde. Fragen Sie bei Ihren Administrator nach, wann die Genehmigung verarbeitet wird. Genehmigte Zertifikate werden an das Datenbankverzeichnis des CA-Dienstprogramms des HTTP Server gesendet.

    Genehmigtes Browser-Zertifikat empfangen

    Bevor Sie ein genehmigtes Browser-Zertifikat empfangen können, müssen Sie zuerst das Zertifikat der CA (cakey.der) herunterladen. Anweisungen dazu finden Sie im Abschnitt CA-Zertifikat in einen Web-Browser herunterladen.

    Gehen Sie zum Empfangen eines genehmigten, von einer CA unterzeichneten Browser-Zertifikats wie folgt vor:

    1. Rufen Sie die folgende URL-Adresse auf:
      http://Name.Ihres.Servers/CAServlet/Welcome.html
      

    2. Klicken Sie unter "Browser Certificates" auf Receive the approved certificate.

    3. Geben Sie den im Formular für die Zertifikatanforderung angegebenen allgemeinen Namen ein.
      Anmerkung:Wenn Sie eine Nachricht erhalten, in der Ihnen mitgeteilt wird, dass kein Datensatz vorhanden ist, haben Sie den allgemeinen Namen möglicherweise falsch eingegeben. Sollten Sie den allgemeinen Namen vergessen haben, können Sie diesen bei Ihrem Administrator erfragen.

    4. Geben Sie im Feld "Challenge Phrase" das Kennwort ein und klicken Sie dann auf Submit Request.
      Anmerkung:Wenn Sie eine Nachricht erhalten, in der Ihnen mitgeteilt wird, dass kein Datensatz vorhanden ist, haben Sie das Kennwort möglicherweise falsch eingegeben. Sollten Sie das Kennwort vergessen haben, können Sie dieses bei Ihrem Administrator erfragen.

    5. Wenn das Zertifikat vorhanden ist, wird die Seite "Download Certificate" angezeigt, von der Sie das Zertifikat herunterladen können. Klicken Sie zum Starten des Übertragungsprozesses auf Click here to download your certificate.

      Wenn das Zertifikat nicht vorhanden ist, fragen Sie bei Ihrem CA-Administrator nach, wann das Zertifikat verarbeitet wird.

    6. Nach dem Empfang des genehmigten Zertifikats wird Ihr Browser von anderen Clients und Servern in Ihrem privaten Netzwerk als sicher (Trusted) anerkannt.

    Web-Master-Tasks

    CA-Zertifikat für einen anderen Server herunterladen

    Bevor Sie ein vom CA-Dienstprogramm des HTTP Server unterzeichnetes Zertifikat auf einem anderen Web-Server verarbeiten können, müssen Sie zuerst Ihr Zertifikat vom CA-Dienstprogramm des HTTP Server in der Betriebsschlüsseldatenbank Ihres Web-Servers speichern.

    Gehen Sie zum Herunterladen eines CA-Zertifikats für einen anderen Server wie folgt vor:

    1. Rufen Sie die folgende URL-Adresse auf:
      http://Name.Ihres.Servers/CAServlet/Welcome.html
      

    2. Klicken Sie unter "Server Certificates" auf Download CA certificate from the Webserver. Daraufhin wird die Datei "cakey.txt" angezeigt.

    3. Erstellen Sie zum Importieren des CA-Schlüssels eine Datei "*.txt" auf Ihrem System und kopieren Sie dann die Zertifikatdatei (cakey.txt) in Ihre Zwischenablage.

    4. Fügen Sie die Zertifikatdatei aus Ihrer Zwischenablage in die neu erstellte Datei "*.txt" ein.

    5. Speichern Sie dann das CA-Zertifikat (Datei "*.txt") mit dem Dienstprogramm IKEYMAN in der Betriebsschlüsseldatenbank des Ziel-Web-Servers. Detaillierte Anweisungen finden Sie im Abschnitt CA-Zertifikat speichern.

    Server-Zertifikat anfordern

    Gehen Sie zum Anfordern eines Server-Zertifikats von der CA Ihres privaten Netzwerkes wie folgt vor:

    1. Rufen Sie die folgende URL-Adresse auf:
      http://Name.Ihres.Servers/CAServlet/Welcome.html
      

    2. Klicken Sie unter "Server Certificates" auf Request a server certificate. Daraufhin wird das Formular "Server- Certificate Request" angezeigt.

      Verwenden Sie dieses Formular, um die Anforderung eines Server-Zertifikats an die CA Ihres privaten Netzwerkes zu senden, damit der HTTP Server von den Browsern und anderen HTTP-Servern im Netzwerk als sicher (Trusted) anerkannt wird. Gibt es in Ihrem Netzwerk andere Web-Server, können Sie diese Task für die fernen Web-Server ausführen.

    3. Geben Sie im Feld "Server Name" einen Server-Namen Ihrer Wahl ein. Notieren Sie diesen Namen, weil Sie ihn später beim Herunterladen des genehmigten Zertifikats benötigen.

    4. Geben Sie im Feld "Organization" einen Organisationsnamen Ihrer Wahl ein.

    5. Geben Sie Ihr Kennwort im Feld "Challenge Phrase" ein. Sie müssen dieses Kennwort später beim Herunterladen des genehmigten Zertifikats angeben.

    6. Füllen Sie alle erforderlichen Felder aus. Zusätzliche Informationen erhalten Sie durch Klicken auf Help.

    7. Zeigen Sie die aktuelle Zertifikatanforderungsdatei (*.arm) Ihres Web-Servers an.
      FRAGE: WIE WIRD DIESE DATEI AUF DER WORKSTATION ANGEZEIGT?
      
      Wenn die Datei *.arm am Bildschirm angezeigt wird, kopieren Sie den Inhalt der Datei in Ihre Zwischenablage. Wechseln Sie dann in Ihren Web-Browser und fügen Sie die Datei in dem Abschnitt des Formular ein, der wie folgt überschrieben ist: Please copy your certificate requests into the following area. Sie müssen in diesem Bereich Ihre aktuelle Zertifikatanforderungsdatei (*.arm) einfügen. Diese Datei wird zur Unterzeichnung an das CA-Dienstprogramm des HTTP Server gesendet.

    8. Klicken Sie auf Submit Requests, um das ausgefüllte Formular zur Genehmigung an die CA zu senden.

    9. Wenn Ihr CA-Administrator die automatische Genehmigung konfiguriert hat, können Sie auf Click here to download your certificate klicken, um den Prozess zu starten. Bei der automatischen Genehmigung erhalten Sie keine Nachrichten, in denen die Genehmigung der Anforderung bestätigt wird. Sie können sofort das Formular Receiving an approved server certificate aufrufen und diese Prozedur ausführen.

      Wenn Ihr CA-Administrator die manuelle Genehmigung konfiguriert hat, müssen Sie eine Nachricht in Ihrem Browser erhalten, in der bestätigt wird, dass die Zertifikatanforderung akzeptiert wurde.

    Genehmigtes Server-Zertifikat empfangen

    Bevor Sie ein genehmigtes Server-Zertifikat empfangen können, müssen Sie zuerst das CA-Zertifikat (cakey.txt) herunterladen. Anweisungen dazu finden Sie im Abschnitt CA-Zertifikat für einen anderen Server herunterladen.

    Gehen Sie zum Empfangen eines genehmigten, von einer CA unterzeichneten Server-Zertifikats wie folgt vor:

    1. Rufen Sie die folgende URL-Adresse auf:
      http://Name.Ihres.Servers/CAServlet/Welcome.html
      

    2. Klicken Sie unter "Server Certificates" auf Receive the approved certificate.

    3. Geben Sie den im Formular für die Zertifikatanforderung angegebenen Server-Namen ein.
      Anmerkung:Wenn Sie eine Nachricht erhalten, in der Ihnen mitgeteilt wird, dass kein Datensatz vorhanden ist, haben Sie den Server-Namen möglicherweise falsch eingegeben. Sollten Sie den Server-Namen vergessen haben, können Sie diesen bei Ihrem Administrator erfragen.

    4. Geben Sie im Feld "Challenge Phrase" das Kennwort ein und klicken Sie dann auf Submit Request.
      Anmerkung:Wenn Sie eine Nachricht erhalten, in der Ihnen mitgeteilt wird, dass kein Datensatz vorhanden ist, haben Sie das Kennwort möglicherweise falsch eingegeben. Sollten Sie das Kennwort vergessen haben, können Sie dieses bei Ihrem Administrator erfragen.

    5. Wenn das Zertifikat vorhanden ist, wird die Seite "Download Certificate" angezeigt, von der Sie das Zertifikat herunterladen können. Klicken Sie zum Starten des Übertragungsprozesses auf Click here to download your certificate.

      Wenn das Zertifikat nicht vorhanden ist, fragen Sie bei Ihrem CA-Administrator nach, wann das Zertifikat verarbeitet wird.

    6. Wenn der Übertragungsprozess beendet ist, wird in Ihrem Web-Browser eine unterzeichnete Zertifikatanforderungsdatei angezeigt. Verwenden Sie die Kopier- und Einfügefunktion, um die Datei in die Zwischenablage zu kopieren. Fügen Sie das unterzeichnete Zertifikat in eine Datei "*.cert" auf Ihrem Server ein.

    7. Empfangen Sie das unterzeichnete Zertifikat mit dem Dienstprogramm IKEYMAN in der Betriebsschlüsseldatenbank (*.kdb) Ihres Servers. Detaillierte Anweisungen finden Sie im Abschnitt Von einer Trusted-CA unterzeichnetes Zertifikat empfangen.

    8. Nach dem Empfang des genehmigten Zertifikats wird Ihr Server von anderen HTTP-Servern und Web-Browsern in Ihrem privaten Netzwerk als sicher (Trusted) anerkannt.

    Zugehörige Informationen

    Anmerkungen:

    1. Wenn Sie Zertifikatwiderruflisten (CRL, Certificate Revocation List) für die Client-Authentifizierung verwenden, müssen Sie die CA-Software bei der IBM Registrierungsdatenbank kaufen und Ihre eigenen Zertifikate ausstellen.

    2. Finanz- und Bankinstitute können ein spezielles digitales Zertifikat erwerben, das es Exportversionen des Servers ermöglicht, Verschlüsselungsebenen von 128 Bit oder mehr zu verwenden. Weitere Informationen finden Sie im Abschnitt Stärkere Verschlüsselung für Finanz- und Bank-Web-Server.

    Stärkere Verschlüsselung für Finanz- und Bank-Web-Server

    Wenn die nordamerikanische Version des HTTP Server als Finanz- oder Bank-Web-Server definiert wird, kann sie die leistungsstarken Verschlüsselungsfunktionen in den nationalen und internationalen Versionen von Netscape Navigator 4.x und Microsoft Internet Explorer 4.x nutzen. Zur Verwendung dieser Funktion müssen Sie ein spezielles digitales Zertifikat von VeriSign mit dem Namen Global Server ID erwerben.

    Bei regulären Web-Transaktionen können die Export-Browser von Netscape und Microsoft nur die 40-Bit-Verschlüsselung für SSL-Transaktionen (Secure Sockets Layer) verwenden. Wenn der Server jedoch Global Server ID von VeriSign für sein SSL-Zertifikat verwendet, können die Export-Browser höhere Verschlüsselungsebenen mit 128 Bit und mehr verwenden. Dadurch ist ein Server mit Global Server ID in der Lage, mit nationalen und internationalen Versionen der Netscape- und Microsoft-Browser auf der höchsten SSL-Verschlüsselungsebene zu kommunizieren.

    Internationale Finanz- und Bankkunden des IBM HTTP Server, die diese Funktion verwenden möchten, müssen bei IBM eine Exportlizenz für die nordamerikanische Version des IBM HTTP Server erwerben.

    Zertifikat- und URL-Anforderungen

    Sie benötigen folgendes, damit ein Export-Browser eine SSL-Verbindung mit 128-Bit-Verschlüsselung herstellen kann:

    Browser-Anforderungen


    Tabelle 2. Global Server ID - Browser-Anforderungen

    Browser National Export
    Netscape Navigator Alle Versionen funktionieren, wenn die unter Zertifikat- und URL-Anforderungen aufgelisteten Anforderungen erfüllt sind. Version 4.04 ist die einzige Version, die die 128-Bit-Verschlüsselung unterstützt.
    Internet Explorer Alle Versionen funktionieren, wenn die unter Zertifikat- und URL-Anforderungen aufgelisteten Anforderungen erfüllt sind. Version 4.0, Upgrade 4.72.3110.8, ist die einzige Version, die die 128-Bit-Verschlüsselung unterstützt. Zur Überprüfung der Upgrade-Nummer klicken Sie auf "Hilfe" und dann auf "Zum Internet Explorer".

    Die aktuellsten Informationen zur Verschlüsselungsunterstützung und zu den Browser-Anforderungen finden Sie auf der Website des IBM HTTP Server.

    Seitenanfang