3.7.4 Konfigurieren der X.509-Authentifizierung

Mit der X.509-Clientauthentifizierung können sich Clients über Zertifikate anstatt mit einem Benutzernamen und Passwort bei Servern authentifizieren. Hierzu wird der Standard X.509 PKI (Public Key Infrastructure; Infrastruktur für öffentliche Schlüssel) verwendet.

Ausführliche Informationen hierzu finden Sie im MSS Administrator Guide (MSS-Administratorhandbuch) unter X.509 Configuration (X.509-Konfiguration).

Bei aktivierter X.509-Clientauthentifizierung:

  • Wenn der Benutzer mit TLS auf den Webclient zugreift, sendet der Browser ein Zertifikat an den Sitzungsserver, das den Endbenutzer identifiziert und den TLS-Handshake abschließt.

  • Der Sitzungsserver überprüft das Clientzertifikat und dessen Verbürgung über den Truststore.

  • Nach Abschluss der TLS-Verhandlung (wenn der Sitzungsserver den Endbenutzer verbürgt hat) sendet der Sitzungsserver das öffentliche Zertifikat des Endbenutzers zur weiteren Überprüfung an MSS.

  • MSS überprüft ebenfalls über den eigenen Truststore, ob das Zertifikat des Endbenutzers verbürgt werden kann.

  • Nach Abschluss der Überprüfung durch MSS ist der Benutzer erfolgreich authentifiziert.

Die gesamte Zertifikatskette des Client muss im Sitzungsserver-Truststore und im MSS-Truststore vorhanden sein oder von einer Zertifizierungsstelle signiert sein, die in beiden Truststores enthalten ist.

Wie der Browser das zu sendende Clientzertifikat ermittelt, hängt von der Browser- oder Smartcard-spezifischen Konfiguration ab.

Grundlegende Schritte:

  1. Verbürgen Sie die Zertifikate auf dem Sitzungsserver und in MSS, sofern sie noch nicht verbürgt sind.

  2. Starten Sie die Server neu.

  3. Konfigurieren Sie X.509 in der MSS-Verwaltungskonsole.

Schritt 1. Zertifikat in MSS und auf dem Sitzungsserver verbürgen

  • Zertifikat in MSS verbürgen

    Ihr Zertifikat der Zertifizierungsstelle kann bereits im vertrauenswürdigen Speicher von MSS enthalten sein. Dies kommt häufig bei bekannten Zertifizierungsstellen vor. In dem Fall können Sie diesen Schritt überspringen.

    Überprüfung:

    Öffnen Sie die Verwaltungskonsole, klicken Sie auf „Configure Settings“ (Einstellungen konfigurieren), und öffnen Sie die Registerkarte „Trusted Certificates“ (Verbürgte Zertifikate). Öffnen Sie Trusted Root Certificate Authorities (Verbürgte Stammzertifizierungsstellen), um eine Liste der verfügbaren Zertifikate anzuzeigen.

    Wenn Ihr Zertifikat nicht aufgeführt ist, müssen Sie entsprechend den Eingabeaufforderungen und der Dokumentation in der Verwaltungskonsole die signierende Stammzertifizierungsstelle in MSS installieren.

  • Zertifikat auf dem Sitzungsserver verbürgen

    So installieren Sie das Zertifikat auf dem Sitzungsserver:

    Importieren Sie das Zertifikat in <Installationsverzeichnis>\sessionserver\etc: keytool -importcert -file <cert-file> -alias <alias-to-store-cert-under> -keystore trustcerts.bcfks -storetype bcfks -providername BCFIPS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath ../lib/bc-fips-*.jar -storepass changeit

2. Schritt. Neustarten aller Server

Starten Sie alle Server neu, damit die Konfiguration wirksam wird.

3. Schritt. Konfigurieren von X.509 mit LDAP-Failover in der Verwaltungskonsole von MSS

Nachdem die Zertifikate eingerichtet sind, können Sie X.509 mit der Option zum Fallback auf die LDAP-Authentifizierung in Management and Security Server Administrative Console | Configure Settings | Authentication & Authorization (Management and Security Server-Verwaltungskonsole | Einstellungen konfigurieren | Authentifizierung und Autorisierung) konfigurieren. Beschreibungen der Konfigurationsoptionen finden Sie in der Onlinehilfe der Verwaltungskonsole.