Smartcards und TLS-Zertifikate

Online bearbeiten

SSL-Zertifikate ( TLS ) gewährleisten eine sichere, verschlüsselte Kommunikation zwischen dem Server und dem Client. Wenn sich Benutzer mit einer Smartcard anmelden, werden Zertifikate von „ TLS “ verwendet.

TLS-Zertifikate und Keystores

Der Client sendet ein Zertifikat an den Server zur Überprüfung und der Server sendet ein Zertifikat zum Client zur Überprüfung. Die Überprüfung erfolgt über Keystores. Ein Client-Keystore überprüft das Serverzertifikat und ein Server-Keystore überprüft das Clientzertifikat.

Zertifikate werden mit einer Baumstruktur verwaltet. Das Stammzertifikat befindet sich in der Baumstruktur ganz oben. Alle Zertifikate in der Baumstruktur übernehmen die Vertrauenswürdigkeit des Stammzertifikats. Keystores können jedes Zertifikat einzeln überprüfen. Wenn der Keystore das Stammzertifikat überprüft, werden auch alle anderen Zertifikate überprüft.

Standardmäßig wird das Programm mit Zertifikaten von TLS installiert, die von IBM® GSKit bereitgestellt werden, sowie mit zwei sofort einsatzbereiten Keystores.

Die Keystores befinden sich im Ordner certdb. Der Client-Keystore ist client_authentication.kdb und der Server-Keystore ist server_authentication.kdb.

Der Keystoreclient_authentication.kdb enthält ein Zertifikat, das der Client an den Server IBM_CL1 senden kann. Der Keystore server_authentication.kdb enthält das Zertifikat IBM_SV1, das der Server zum Client senden kann. Das Zertifikat IBM_SV1 enthält den Namen des Computers, auf dem der Server ausgeführt wird. Der Name lautet standardmäßig IBMEDSERV.

Der Client-Keystore enthält außerdem das Stammzertifikat der Baumstruktur, in der das Serverzertifikat enthalten ist. Mit diesem Stammzertifikat überprüft der Client-Keystore das Serverzertifikat. Beispiel: Der Keystore client_authentication.kdb enthält das Stammzertifikat der Baumstruktur, in der das Zertifikat IBM_SV1 enthalten ist, und verwendet das Stammzertifikat zur Überprüfung von IBM_SV1. Der Server-Keystore enthält das Stammzertifikat der Baumstruktur, in der das Clientzertifikat enthalten ist, und verwendet dieses zur Überprüfung des Clientzertifikats.

Wenn Sie den Server im sicheren Modus starten, stellen alle Clients sichere Verbindungen zum Server her. Wenn Sie keine Befehlszeilenoptionen angeben, werden diese Standardeinstellungen verwendet:
  • server_authentication.kdb ist der Name des Server-Keystores.
  • IBM_SV1 ist der Name des Zertifikats.
  • IBMEDSERV ist der Name des Servers.

Sie können die Standardeinstellungen ändern und für Ihr System eigene Spezifikationen festlegen. Um Ihre eigenen Einstellungen anzugeben, führen Sie Befehlszeilenoptionen aus, um einen anderen Keystore, Zertifikatsnamen oder Servernamen festzulegen. Sie können z. B. IBM_SV1 zu einem anderen Zertifikatsnamen oder IBMEDSERV zu einem anderen Servernamen ändern.

Smartcardzertifikate und Distinguished Names

Bei der Verwendung von Smartcards befindet sich das Client-Zertifikat nicht auf dem Client. Stattdessen befindet sich das Clientzertifikat mit dem Distinguished Name (DN) auf der Chipkarte, die dem Benutzer zugeordnet ist. Das Zertifikat auf der Smartcard wird durch die Zertifikatsbezeichnung identifiziert. Der Benutzer wird durch einen DN identifiziert. Der DN besteht aus den Paaren 'Attribut=Wert', die durch Kommas getrennt werden:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Keystore-Zertifikate

Wenn Sie Clientzertifikate verwenden, befindet sich das Zertifikat mit dem Distinguished Name (DN) im Keystore, der dem Benutzer zugeordnet ist. Das Keystore-Zertifikat wird durch die Zertifikatsbezeichnung und der Benutzer durch den DN identifiziert. Der DN besteht aus den Paaren 'Attribut=Wert', die durch Kommas getrennt werden:
CN=Ben Gray,OU=US,OU=users,DC=com,DC=ibm,DC=sales

Distinguished Names und der Administratorbenutzeraccount

Der Administratorbenutzeraccount umgeht alle Prüfungen auf Zugriffsberechtigung und wird nur verwendet, wenn es unbedingt erforderlich ist, beispielsweise, wenn sich keine anderen Benutzer anmelden können oder wenn andere Benutzer nicht auf Bereiche der Datenbank zugreifen können. Wenn Sie Smartcards und Zertifikate verwenden, müssen Sie dem Benutzer mit Administratorberechtigung einen Distinguished Name (DN) zuweisen, damit der Benutzer mit Administratorberechtigung auf die Datenbank zugreifen kann.

Konfigurationsprozess

So richten Sie Smartcards und TLS-Zertifikate (Transport Layer Security) ein:
  1. Richten Sie Benutzer ein.

    Bevor Sie eine Kartenauthentifizierung für einen Server aktivieren können, müssen Sie Smartcardbenutzer einrichten. Sie richten einen Benutzer ein, indem Sie dem Benutzer einen Distinguished Name zuweisen.

  2. Weisen Sie dem Benutzer mit Administratorberechtigung einen Distinguished Name zu.

    Sie müssen einem Benutzer mit Administratorberechtigung einen Distinguished Name (DN) zuweisen, sodass der Benutzer mit Administratorberechtigung auf die Datenbank zugreifen kann.

  3. Aktivieren Sie die Smartcardauthentifizierung im Datenbankserver.
  4. Aktivieren Sie die Smartcardauthentifizierung im Client.

Nächste Schritte

Richten Sie Benutzer ein. Wenn Sie die PKI-Authentifizierung (Public Key Infrastructure) verwenden, befolgen Sie die Anweisungen unter PKI-Authentifizierungsbenutzer einrichten. Wenn Sie die MCS-Authentifizierung (Microsoft Certificate Store) verwenden, befolgen Sie die Anweisungen unter MCS-Authentifizierungsbenutzer einrichten.