IBM empfiehlt zur Durchführung kommerzieller Geschäfte im Internet den Erwerb eines Zertifikats für Sicherheits-Server (Secure Server Certificate) von einer externen Zertifizierungsstelle (Certificate Authority) wie VeriSign. Eine Liste der unterstützten CAs finden Sie im Abschnitt Zertifizierungsstellen.
Wenn Sie als eigene CA auftreten, können Sie Ihre eigenen und die Zertifikatanforderungen anderer Benutzer unterzeichnen. Dieser Weg empfiehlt sich, wenn Sie die Zertifikate nur in Ihrem privaten Web-Netzwerk und nicht für Geschäfte im Internet benötigen. Clients müssen über einen Browser wie Netscape Navigator oder Microsoft Internet Explorer verfügen, der CA-Zertifikate empfangen und sie als Trusted-CA festlegen kann.
Um als eigene CA aufzutreten, können Sie entweder die Dienstprogramme zur Verwaltung der Server-Schlüssel (IKEYMAN und HTTP Server CA) verwenden oder die CA-Software eines CA-Anbieters kaufen.
Anmerkung: | Wenn Sie schätzungsweise mehr als 250 Zertifikate verwalten müssen, sollten Sie besser die Software bei einem CA-Anbieters kaufen. Die Einschränkung ergibt sich aus der Anzahl der Zertifikatanforderungen, die in der CA-Schlüsseldatenbank gespeichert werden können. Bei mehr als 250 Zertifikatanforderungen ist die Leistung des Dienstprogramms sehr gering. |
Vor Verwendung des CA-Dienstprogramms des HTTP Server müssen Sie den WebSphere Application Server als Servlet-Steuerkomponente installieren.
Installationsanweisungen finden Sie im Handbuch WebSphere Application Server Getting Started V2. Sie können über die Website des WebSphere Application Server auf dieses Handbuch und alle weiteren Dokumentationen zum Application Server zugreifen.
Zum ordnungsgemäßen Herunterladen von Client-Zertifikaten müssen die folgenden Anweisungen "AddType" und MIME-Typen in der Server-Konfigurationsdatei hinzugefügt werden:
AddType .cer application/x-x509-user-cert 7bit 0.5 #Benutzerzertifikat AddType .der application/x-x509-ca-cert binary 1.0 #Browser-CA-Zertifikat
Diese MIME-Typen sind in der Standardkonfigurationsdatei des Servers enthalten:
Vor der Verwendung des CA-Dienstprogramms erstellen Sie mit dem Dienstprogramm IKEYMAN Ihre Server- und CA-Schlüsseldatenbanken, Ihr Server-Zertifikat und Ihr selbstunterzeichnetes CA-Zertifikat. Anweisungen finden Sie im Abschnitt Selbstunterzeichnete Zertifikate erstellen.
Anmerkung: | Als Administrator können Sie festlegen, dass CA-Zertifikatanforderungen nach ihrer Übertragung automatisch verarbeitet werden. Wenn die automatische Verarbeitung festgelegt wird, müssen Sie die einzelnen Zertifikatanforderungen nicht manuell verarbeiten. Wenn Sie die automatische Verarbeitung verwenden möchten, erstellen Sie eine versteckte Datei für das Kennwort der CA-Schlüsseldatenbank, wenn Sie Ihre CA-Schlüsseldatenbank mit IKEYMAN konfigurieren. |
Nach der Erstellung Ihrer CA-Schlüsseldatenbank und Ihres selbstunterzeichneten CA-Zertifikats kopieren Sie die Datei "cakey.kdb" in das Verzeichnis des CA-Dienstprogramms.
Sie können optional festlegen, dass das verschlüsselte Kennwort für die CA-Schlüsseldatenbank in einer versteckten Datei gespeichert wird. Wenn sich die versteckte Datei in demselben Verzeichnis wie die Datei mit der CA-Schlüsseldatenbank (cakey.kdb) befindet, werden alle Zertifikate, die zur Unterzeichnung durch das CA-Dienstprogramm gesendet werden, automatisch genehmigt. Wenn Sie eine versteckte Datei (cakey.sth) erstellen, kopieren Sie diese Datei in dasselbe Verzeichnis wie die Datei "cakey.kdb".
Die Datei cakey.kdb auf dem Server muss in einem Format, das von Clients und Server verwendet werden kann, in das CA-Dienstprogramm exportiert werden. Detaillierte Anweisungen dazu finden Sie im Abschnitt CA-Schlüsseldatenbank exportieren.
Rufen Sie für den Zugriff auf das CA-Dienstprogramm des HTTP Server die folgende URL-Adresse auf:
http://Name.Ihres.Servers/CAServlet/Welcome.html
Ihre Aufgabe als CA besteht darin zu überprüfen, ob ein Zertifikat für einen Client oder Server ausgestellt werden kann. Sie müssen sicherstellen, dass die Person, die die Anforderung stellt, auch tatsächlich berechtigt ist, das Zertifikat anzufordern. Nach dieser Berechtigungsüberprüfung können Sie mit dem CA-Dienstprogramm des HTTP Server unterzeichnete Zertifikate erstellen.
Die Eingabe für diesen Prozess ist eine Client- oder Server-Zertifikatanforderung. Die Ausgabe ist ein mit Ihrem privaten Schlüssel unterzeichnetes Zertifikat.
Nach der Verarbeitung des Client- oder Server-Zertifikats gehen Sie wie folgt vor:
Nach Ausführung dieser Schritte kann der Client oder Server sein von der CA unterzeichnetes Zertifikat verwenden, um sicher mit anderen HTTP-Servern und Web-Browsern im Ihrem privaten Web-Netzwerk zu kommunizieren.
Gehen Sie wie folgt vor, um die CA-Schlüsseldatenbank (cakey.kdb) auf dem Server in einem Format zu exportieren, das von Browsern und Servern verwendet werden kann. Sie müssen diese Schritte nach der Erstkonfiguration Ihrer CA nicht wiederholen.
Anmerkung: | Bevor Sie das CA-Dienstprogramm verwenden können, müssen Sie die Datei "cakey.kdb" zuerst mit dem Dienstprogramm IKEYMAN erstellen. Anweisungen finden Sie im Abschnitt Selbstunterzeichnete Zertifikate erstellen. |
Gehen Sie zum Exportieren der Datei mit Ihrer CA-Schlüsseldatenbank für Browser und Server wie folgt vor:
http://Name.Ihres.Servers/CAServlet/Welcome.html
Anmerkungen:
Gehen Sie zum Verarbeiten von Zertifikatanforderungen von Browsern und Servern wie folgt vor:
http://Name.Ihres.Servers/CAServlet/Welcome.html
Wenn Anforderungen anstehen, gehen Sie wie folgt vor:
Sie können eine Aktion für eine oder mehrere Anforderungen ausführen.
Detailliertere Anweisungen erhalten Sie durch Klicken auf Hilfe.
Bevor Sie ein durch das CA-Dienstprogramm des HTTP Server unterzeichnetes Browser-Zertifikat akzeptieren können, müssen Sie zuerst das CA-Zertifikat, das vom CA-Dienstprogramm des HTTP Server als Trusted-CA für Ihren Browser ausweist, herunterladen.
Gehen Sie zum Herunterladen eines CA-Zertifikats wie folgt vor:
http://Name.Ihres.Servers/CAServlet/Welcome.html
Nach dem Herunterladen des CA-Zertifikats definieren Sie es als ein von Ihrem Browser anerkanntes Zertifikat (Trusted) und markieren Sie es als Standardzertifikat in Ihrer Betriebsschlüsseldatenbank. Wenn Sie das CA-Zertifikat als Trusted-CA Ihres Browsers definiert haben, müssen Sie diese Prozedur nicht mehr ausführen.
Gehen Sie zum Anfordern eines Browser-Zertifikats von der CA Ihres privaten Netzwerkes wie folgt vor:
http://Name.Ihres.Servers/CAServlet/Welcome.html
Je nach Administratorkonfiguration wird Ihre Anforderung entweder automatisch oder erst nach Prüfung durch den Administrator genehmigt. Bei der automatischen Genehmigung erhalten Sie keine Nachrichten, in denen die Genehmigung der Anforderung bestätigt wird. Sie können sofort das Formular Receiving an approved browser certificate aufrufen und diese Prozedur ausführen.
Wenn Ihr Administrator die manuelle Genehmigung konfiguriert hat, erhalten Sie eine Nachricht, in der bestätigt wird, dass die Zertifikatanforderung akzeptiert wurde. Fragen Sie bei Ihren Administrator nach, wann die Genehmigung verarbeitet wird. Genehmigte Zertifikate werden an das Datenbankverzeichnis des CA-Dienstprogramms des HTTP Server gesendet.
Bevor Sie ein genehmigtes Browser-Zertifikat empfangen können, müssen Sie zuerst das Zertifikat der CA (cakey.der) herunterladen. Anweisungen dazu finden Sie im Abschnitt CA-Zertifikat in einen Web-Browser herunterladen.
Gehen Sie zum Empfangen eines genehmigten, von einer CA unterzeichneten Browser-Zertifikats wie folgt vor:
http://Name.Ihres.Servers/CAServlet/Welcome.html
Anmerkung: | Wenn Sie eine Nachricht erhalten, in der Ihnen mitgeteilt wird, dass kein Datensatz vorhanden ist, haben Sie den allgemeinen Namen möglicherweise falsch eingegeben. Sollten Sie den allgemeinen Namen vergessen haben, können Sie diesen bei Ihrem Administrator erfragen. |
Anmerkung: | Wenn Sie eine Nachricht erhalten, in der Ihnen mitgeteilt wird, dass kein Datensatz vorhanden ist, haben Sie das Kennwort möglicherweise falsch eingegeben. Sollten Sie das Kennwort vergessen haben, können Sie dieses bei Ihrem Administrator erfragen. |
Wenn das Zertifikat nicht vorhanden ist, fragen Sie bei Ihrem CA-Administrator nach, wann das Zertifikat verarbeitet wird.
Bevor Sie ein vom CA-Dienstprogramm des HTTP Server unterzeichnetes Zertifikat auf einem anderen Web-Server verarbeiten können, müssen Sie zuerst Ihr Zertifikat vom CA-Dienstprogramm des HTTP Server in der Betriebsschlüsseldatenbank Ihres Web-Servers speichern.
Gehen Sie zum Herunterladen eines CA-Zertifikats für einen anderen Server wie folgt vor:
http://Name.Ihres.Servers/CAServlet/Welcome.html
Gehen Sie zum Anfordern eines Server-Zertifikats von der CA Ihres privaten Netzwerkes wie folgt vor:
http://Name.Ihres.Servers/CAServlet/Welcome.html
Verwenden Sie dieses Formular, um die Anforderung eines Server-Zertifikats an die CA Ihres privaten Netzwerkes zu senden, damit der HTTP Server von den Browsern und anderen HTTP-Servern im Netzwerk als sicher (Trusted) anerkannt wird. Gibt es in Ihrem Netzwerk andere Web-Server, können Sie diese Task für die fernen Web-Server ausführen.
FRAGE: WIE WIRD DIESE DATEI AUF DER WORKSTATION ANGEZEIGT?Wenn die Datei *.arm am Bildschirm angezeigt wird, kopieren Sie den Inhalt der Datei in Ihre Zwischenablage. Wechseln Sie dann in Ihren Web-Browser und fügen Sie die Datei in dem Abschnitt des Formular ein, der wie folgt überschrieben ist: Please copy your certificate requests into the following area. Sie müssen in diesem Bereich Ihre aktuelle Zertifikatanforderungsdatei (*.arm) einfügen. Diese Datei wird zur Unterzeichnung an das CA-Dienstprogramm des HTTP Server gesendet.
Wenn Ihr CA-Administrator die manuelle Genehmigung konfiguriert hat, müssen Sie eine Nachricht in Ihrem Browser erhalten, in der bestätigt wird, dass die Zertifikatanforderung akzeptiert wurde.
Bevor Sie ein genehmigtes Server-Zertifikat empfangen können, müssen Sie zuerst das CA-Zertifikat (cakey.txt) herunterladen. Anweisungen dazu finden Sie im Abschnitt CA-Zertifikat für einen anderen Server herunterladen.
Gehen Sie zum Empfangen eines genehmigten, von einer CA unterzeichneten Server-Zertifikats wie folgt vor:
http://Name.Ihres.Servers/CAServlet/Welcome.html
Anmerkung: | Wenn Sie eine Nachricht erhalten, in der Ihnen mitgeteilt wird, dass kein Datensatz vorhanden ist, haben Sie den Server-Namen möglicherweise falsch eingegeben. Sollten Sie den Server-Namen vergessen haben, können Sie diesen bei Ihrem Administrator erfragen. |
Anmerkung: | Wenn Sie eine Nachricht erhalten, in der Ihnen mitgeteilt wird, dass kein Datensatz vorhanden ist, haben Sie das Kennwort möglicherweise falsch eingegeben. Sollten Sie das Kennwort vergessen haben, können Sie dieses bei Ihrem Administrator erfragen. |
Wenn das Zertifikat nicht vorhanden ist, fragen Sie bei Ihrem CA-Administrator nach, wann das Zertifikat verarbeitet wird.
Anmerkungen:
Wenn die nordamerikanische Version des HTTP Server als Finanz- oder Bank-Web-Server definiert wird, kann sie die leistungsstarken Verschlüsselungsfunktionen in den nationalen und internationalen Versionen von Netscape Navigator 4.x und Microsoft Internet Explorer 4.x nutzen. Zur Verwendung dieser Funktion müssen Sie ein spezielles digitales Zertifikat von VeriSign mit dem Namen Global Server ID erwerben.
Bei regulären Web-Transaktionen können die Export-Browser von Netscape und Microsoft nur die 40-Bit-Verschlüsselung für SSL-Transaktionen (Secure Sockets Layer) verwenden. Wenn der Server jedoch Global Server ID von VeriSign für sein SSL-Zertifikat verwendet, können die Export-Browser höhere Verschlüsselungsebenen mit 128 Bit und mehr verwenden. Dadurch ist ein Server mit Global Server ID in der Lage, mit nationalen und internationalen Versionen der Netscape- und Microsoft-Browser auf der höchsten SSL-Verschlüsselungsebene zu kommunizieren.
Internationale Finanz- und Bankkunden des IBM HTTP Server, die diese Funktion verwenden möchten, müssen bei IBM eine Exportlizenz für die nordamerikanische Version des IBM HTTP Server erwerben.
Sie benötigen folgendes, damit ein Export-Browser eine SSL-Verbindung mit 128-Bit-Verschlüsselung herstellen kann:
Tabelle 2. Global Server ID - Browser-Anforderungen
Browser | National | Export |
---|---|---|
Netscape Navigator | Alle Versionen funktionieren, wenn die unter Zertifikat- und URL-Anforderungen aufgelisteten Anforderungen erfüllt sind. | Version 4.04 ist die einzige Version, die die 128-Bit-Verschlüsselung unterstützt. |
Internet Explorer | Alle Versionen funktionieren, wenn die unter Zertifikat- und URL-Anforderungen aufgelisteten Anforderungen erfüllt sind. | Version 4.0, Upgrade 4.72.3110.8, ist die einzige Version, die die 128-Bit-Verschlüsselung unterstützt. Zur Überprüfung der Upgrade-Nummer klicken Sie auf "Hilfe" und dann auf "Zum Internet Explorer". |
Die aktuellsten Informationen zur Verschlüsselungsunterstützung und zu den Browser-Anforderungen finden Sie auf der Website des IBM HTTP Server.