Zertifikate verwalten

Online bearbeiten

Zertifikate werden verwendet, um verschiedene Objekte, wie z. B. SAML-Zusicherungen und OAuth- und OpenID Connect-JSON-Web-Tokens (JWT), zu signieren, zu validieren, zu verschlüsseln und zu entschlüsseln.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich als Administrator bei der IBM® Verify Verwaltungskonsole an.
Hinweis: Wenn ein von einer Zertifizierungsstelle signiertes Zertifikat verwendet wird, müssen alle Zwischen- und Stammzertifikate der Kette in IBM Verify den Truststore importiert werden. Das CA-signierte Zertifikat muss über eine gültige definierte CRL verfügen und auf die CRL-Site muss zugegriffen werden können.

Informationen zu dieser Task

Verify verwendet die folgenden Zertifikate:
Persönliches Zertifikat

Hierbei handelt es sich um ein digitales vertrauenswürdiges Zertifikat, das ein Client oder Server für die Authentifizierung anderen Clients oder Servern zur Verfügung stellt.

Das persönliche Zertifikat enthält sowohl ein Unterzeichnerzertifikat bzw. einen öffentlichen Schlüssel als auch einen privaten Schlüssel zum Signieren und Verschlüsseln von Daten.

Der Identitätsanbieter signiert seine AuthentifizierungsantwortSAML “ stets. Wenn Sie das Single-Sign-On für „ SAML “ konfigurieren, müssen Sie dem Dienstanbieter das Signaturzertifikat oder die Komponente des öffentlichen Schlüssels des persönlichen Zertifikats zur Verfügung stellen. Mithilfe dieser Informationen wird die Identität des Identitätsproviders validiert. Das Signaturzertifikat oder der öffentliche Schlüssel des persönlichen Zertifikats wird automatisch unter „Anwendungen > An meldeanweisungen“ eingetragen.

Das Zertifikat wird auch zum Signieren von ID-Tokens für OIDC-Single-Sign-on-Anwendungen verwendet.

Verify beinhaltet ein persönliches Zertifikat. Dieses Zertifikat dient jedoch ausschließlich zu Demonstrationszwecken, als Machbarkeitsnachweis oder Proof of Technology. Das bereitgestellte Zertifikat darf nicht in einer Produktionsumgebung verwendet werden. Fügen Sie während der Erstkonfiguration von Verify ein anderes persönliches Zertifikat hinzu.

Sie können mehrere persönliche Zertifikate hinzufügen, für eines der Zertifikate muss jedoch immer Folgendes gelten:
  • Wenn der Anzeigename auf server. gesetzt ist.
  • Es muss als Standardzertifikat festgelegt sein. Zur Signierung der Authentifizierungsantwort von „ SAML “ wird ausschließlich das Standardzertifikat verwendet.

Wenn der Ablauf des persönlichen Standardzertifikats unmittelbar bevorsteht, stellen Sie sicher, dass es geändert wird; rekonfigurieren Sie dann die einmalige Anmeldung für die Anwendung, die den öffentlichen Schlüssel dieses persönlichen Zertifikats verwendet hat. Andernfalls ist die SSO-Konfiguration nicht funktionsfähig, wenn der öffentliche Schlüssel nicht mit dem neuen persönlichen Standardzertifikat kompatibel ist.

Unterzeichnerzertifikat

Hierbei handelt es sich um ein digitales vertrauenswürdiges Zertifikat, das vom Service-Provider generiert und bereitgestellt wird; es ist für den Account oder die Instanz der Zielanwendung spezifisch.

Das Unterzeichnerzertifikat enthält den öffentlichen Schlüssel, der dem persönlichen Zertifikat der Zielanwendung zugeordnet ist. Das Unterzeichnerzertifikat validiert den Zertifikatsaussteller und akzeptiert ihn als vertrauenswürdig. Verify verwendet dieses Zertifikat, um die signierte AuthentifizierungsanfrageSAML “, die es von der Zielanwendung erhält, zu validieren und um anzuzeigen, dass Verify es der Zielanwendung vertraut.

Wenn der Dienstanbieter seine Authentifizierungsanfrage nach dem „ SAML “-Verfahren signiert, stellt er sein Signaturzertifikat bereit. Die Die Details des Unterzeichnerzertifikatskönnen Sie normalerweise aus den Metadaten des Service-Providers abrufen. Importieren Sie diese Datei, Verify bevor Sie das Single Sign-On für die Zielanwendung unter SAML konfigurieren.

Wenn der Dienstanbieter seine AuthentifizierungsanfrageSAML “ nicht signiert, stellt er kein Sign aturzertifikat bereit.

Sie können mehrere Unterzeichnerzertifikate hinzufügen.
Hinweis: Wenn Sie einen Identitätsanbieter von „ SAML “ hinzufügen, wird dessen Signaturzertifikat automatisch auf der Seite „Sicherheit > Zertifikate > Signaturzertifikate“ importiert.
Sie können die folgenden Tasks ausführen:

Vorgehensweise

  1. Wählen Sie „Sicherheit“ > „Zertifikate“
  2. Zeigen Sie die Zertifikatsinformationen an.
    1. Wählen Sie das Zertifikat aus, um das Dialogfeld „Zertifikatsdetails“ anzuzeigen, das folgende Informationen enthält:
      Tabelle 1. Zertifikatsdetails
      Information Beschreibung
      Aussagekräftiger Name

      Wird auch als Zertifikatsalias bezeichnet Das ist der Anzeigename. Dies gilt als gezielter Verweis auf das Zertifikat anstelle der Seriennummer und des Aussteller-DN.

      Er muss in Kleinschreibung angegeben werden. Verwenden Sie ausschließlich alphanumerische Zeichen.
      Zertifikatstyp

      Gibt das Zertifikat als persönliches Zertifikat oder Unterzeichnerzertifikat an.
      Registrierter Name des Zertifikatsausstellers Der definierte Name der Entität, die das Zertifikat signiert und ausgestellt hat. In der Regel handelt es sich hierbei um die Zertifizierungsstelle.

      Sie besteht aus mehreren attribute=value-Paaren, die durch Kommas voneinander getrennt sind.

      CN: Allgemeiner_Name
      Der vollständig qualifizierte Domänenname für die Organisation.
      OU: Organisationseinheit
      Der Name des Geschäftsbereichs oder der Abteilung in der Organisation.
      O: Organisation
      Der eingetragene Name der Organisation, die bei der zuständigen Behörde der Stadt, des Staats oder des Landes/der Region registriert wurde.
      L: Ort
      Die Stadt, in der sich der Sitz der Organisation befindet.
      ST: Name_des_Staats_oder_des_Bundeslandes
      Der Staat oder das Bundesland, in dem sich die Organisation physisch befindet.
      C®: CountryName
      Ein aus zwei Zeichen bestehender Landes- oder Regionscode.
      Registrierter Name des Zertifikatsinhabers

      Definierter Name des Zertifikatsinhabers Der Name der Entität, für die das Zertifikat ausgestellt wird.

      Sie besteht aus mehreren attribute=value-Paaren, die durch Kommas voneinander getrennt sind.
      Gültig von

      Das Anfangsdatum, ab dem dieses Zertifikat gültig ist. Zertifikate sind nur für eine bestimmte Dauer gültig. Der Zertifikatsgültigkeitszeitraum wird von der Zertifizierungsstelle beim Signieren des Zertifikats festgelegt und gestartet.

      Das angegebene Datum ist von den Einstellungen für das lokale Datum und die Ortszeit abhängig.

      Ablauf am Das Zertifikat ist nach diesem Datum nicht mehr gültig.

      Das angegebene Datum ist von den Einstellungen für das lokale Datum und die Ortszeit abhängig.

      Seriennummer Eine eindeutige ID, um das Zertifikat von anderen Zertifikaten, die von der Zertifizierungsstelle ausgestellt wurden, unterscheiden zu können.
      Fingerabdrücke
      Ein Hashalgorithmus zum Identifizieren des Zertifikats. Der Algorithmus, der zum Umwandeln des Zertifikats für öffentlichen Schlüssel in einen Hashwert und zum Signieren abgehender SAML 2.0-Nachrichten verwendet wird.
      • SHA-1
        Hinweis: Die Zertifikatsaussteller von „ SSL “ haben diesen Algorithmus seit Januar 2016 als veraltet eingestuft.
      • SHA-256
      Standardzertifikat

      Gibt an, ob es sich um das Standardzertifikat handelt.

      Das persönliche Standardzertifikat kann nicht bearbeitet oder gelöscht werden.
      Signaturalgorithmus Der Hashing- und Verschlüsselungsalgorithmus des Zertifikats.
  3. Fügen Sie ein persönliches Zertifikat hinzu.
    1. Wählen Sie „Persönliches Zertifikat hinzufügen “. Das Dialogfenster Persönliches Zertifikat hinzufügen wird angezeigt.
    2. Suchen Sie nach der Datei „ PKCS#12 “ (.p12) oder „ PKCS#8 “ (.p8). Alternativ können Sie die entsprechende Datei in den Ablegebereich ziehen.
      Hinweis: Im Dateiformat „ PKCS#12 “ werden ausschließlich RSA-Zertifikate unterstützt, im Dateiformat „ PKCS#8 “ hingegen ausschließlich ECDSA-Zertifikate.
      Der Name der ausgewählten Datei wird angezeigt.
    3. Geben Sie die folgenden Informationen für das neue Zertifikat an:
      Tabelle 2. Dialogfeld „Persönliches Zertifikat hinzufügen“
      Information Beschreibung
      Dateikennwort Nur für .p12-Dateien erforderlich.

      Kennwort zum Entschlüsseln und Installieren der Zertifikatsdatei.

      Aussagekräftiger Name Erforderlich für .p8-Dateien, jedoch optional für .p12 files.

      Eine Bezeichnung für das Zertifikat.
      Standardzertifikat Gibt an, ob es sich um das Standardzertifikat handelt.
      Hinweis: Als Standardzertifikat können nur .p12 Zertifikate verwendet werden.
    4. Wählen Sie „OK “.
  4. Ein Unterzeichnerzertifikat hinzufügen.
    1. Wählen Sie „Unterzeichnerzertifikat hinzufügen “. Das Dialogfenster Unterzeichnerzertifikat hinzufügen wird angezeigt.
    2. Suchen Sie die .pem Datei oder ziehen Sie sie in den Ablagebereich.
      Der Name der ausgewählten Datei wird angezeigt.
    3. Geben Sie den Anzeigenamen für das neue Zertifikat an. Einzelheiten finden Sie in Tabelle 1.
    4. Wählen Sie „OK “.
      Das Zertifikat wird im Abschnitt „Zertifikate des Unterzeichners“ angezeigt. Er wird außerdem als Wert für das Zertifikat des Dienstanbieters auf der Seite „Anwendungen > Anmeldung“ hinzugefügt.
  5. Ein persönliches Zertifikat oder ein Signaturzertifikat löschen.
    1. Treffen Sie eine Auswahl aus den folgenden Optionen:
      • Bewegen Sie den Mauszeiger über das Zertifikat, das Sie löschen möchten, und wählen Sie das Löschen Symbol aus.
      • Wählen Sie das Zertifikat aus.
    2. Wählen Sie „Löschen “.
    3. Bestätigen Sie, dass der ausgewählte Benutzer oder die ausgewählten Benutzer endgültig gelöscht werden sollen.