KEYnote 28 Deutsch - Ausgabe Herbst 2014 - Page 5

Im zweiten Schritt wird ein Zertifikats-Antrag (Certificate Signing Request – CSR) erstellt. Dieser enthält bereits Daten wie Inhaber und den öffentlichen Schlüssel. Der CSR wird an die Stelle geschickt, welche die Zertifikate erstellt. Mit dem privaten Schlüssel der Zertifizierungsstelle wird nun ein Zertifikat erzeugt. Dabei werden in der Regel die Daten aus dem CSR übernommen und überprüft. Prinzipiell ist es möglich, weitere Daten und Felder hinzuzufügen. Falls die Zertifizierungsstelle keine Wurzelzertifizierungsstelle ist, wird das Zertifikat der Zertifizierungsstelle ins Zertifikat eingebunden. Das so erzeugte Zertifikat wird an den Antragsteller zurückgeschickt und dort gespeichert. Diese enthält den öffentlichen Schlüssel des jeweiligen CmContainers. Der Herausgeber der Lizenz erzeugt damit eine Remote-UpdateDatei (WibuCmRaU). Die darin enthaltenen Lizenzdaten sind so verschlüsselt, dass sie nur vom entsprechenden CmContainer entschlüsselt werden können. Die Entschlüsselung erfolgt innerhalb des CmContainers, so dass der private Schlüssel nie im Klartext außerhalb eines CmContainers vorliegt. CodeMeter vereinfacht die Erstellung und Verteilung von privaten Schlüsseln und Zertifikaten. Selbstunterschriebene Zertifikate Ein selbstunterschriebenes Zertifikat (Self Signed Certificate) ist ein Zertifikat, welches man sich selber mit seinem eigenen privaten Schlüssel erstellt hat. Dies ist eine einfache Möglichkeit, Zertifikate vor allem zu Testzwe- Private Key & Zertifikat CA Key & Zertifikat Einfacher Weg zum Erhalt eines Zertifikates Da dieses Verfahren in der Praxis oft zu umständlich ist, verwendet man häufig die folgende Alternative: Die Zertifizierungsstelle erzeugt das Schlüsselpaar, außerdem das Zertifikat und schickt Zertifikat und privaten Schlüssel an den Inhaber des Zertifikats. Dieses Verfahren hat zwei große Nachteile: cken zu erzeugen. Ein selbstunterschriebenes Zertifikat muss in der Regel manuell zur Liste der vertrauenswürdigen Zertifikate hinzugefügt werden, bevor es akzeptiert wird. Daher werden diese Zertifikate in der Regel nur zu Testzwecken eingesetzt. ■■ Zwei Parteien kennen den privaten Schlüssel: der Inhaber des Zertifikats und die Zertifizierungsstelle. Wie schwer dieser Nachteil wiegt, hängt vom Anwendungsfall und dem Bedrohungsszenario ab. Für den Betreiber einer Webseite, der seine Anwender per selbst erstellten Client-Zertifikat (Client Certificate) identifizieren möchte, stellt dies kein Problem dar. ■■ Übermittlung des privaten Schlüssels. Diese Übertragung muss so abgesichert sein, dass kein unbefugter Dritter den privaten Schlüssel mitlesen kann. In der Regel erfolgt dies per Passwort. Ein Anwendungsfall sind Server-Zertifikate. Mit einem Server-Zertifikat wird zum einen die Identität eines Webservers sichergestellt und zum anderen die Kommunikation zwischen Browser und Server verschlüsselt. CodeMeter bietet eine einfache Möglichkeit, private Schlüssel sicher zu übertragen. Eine Lizenz (welche als Datenfelder Schlüssel enthalten kann) kann per Fernprogrammierung in einen CmContainer übertragen werden. Dabei erstellt der Anwender zuerst eine Remote-Context-Datei (WibuCmRaC). Typische Anwendungsfälle Ein weiterer Anwendungsfall sind Client-Zertifikate. Der Betreiber einer Webseite erstellt und verteilt die entsprechenden Zertifikate. Der Browser verwendet das Zertifikat und den privaten Schlüssel, um sich am Server anzumelden. Auf dem Server besteht die Möglichkeit, das Zertifikat auszulesen und zum Beispiel anhand der eingetragenen Organisational Unit (OU) den Zugriff auf bestimmte Bereiche zu gewähren. Ein dritter Anwendungsfall sind Codesignatur-Zertifikate. Der Softwareher­ steller unterschreibt seine Software und über das entsprechende Zertifikat wird die Herkunft von eben diesem Softwarehersteller beglau- Codesignatur bigt. Während das Windows-eigene Verfahren entwickelt wurde, um den Anwender vor Viren zu schützen, setzt CodeMeter dies auf Embedded Devices ein, um die Integrität des kompletten Gerätes sicherzustellen. Weitere Anwendungsfälle sind E-Mail-Verschlüsselung und der neue Personalausweis (NPa). OPC UA Auch bei OPC UA (OLE for Process Control Unified Architecture) werden Zertifikate verwendet. Diese werden als Server- und als Client-Zertifikate verwendet. CodeMeter vereinfacht auch hier den Prozess der Ausstellung und Verwaltung. Vorgefertigte Zertifikate können einfach durch das Stecken eines vorbereiteten CmDongles [