SSOCircle

SSOCircle Public Key Infrastructure

Leistungsmerkmale

Registrierungs-Autorität (RA)

• Verifiziert die SSOCircle Identität
• Prüft auf Konformität des Signierungsanfrage mit den SSOCircle Regeln
• Koppelt ein Zertifikat an eine SSOCircle Identität

Zertifizierungs-Autorität (CA)

• Signierung und Ausstellung von Zertifikaten
• Webformularbasierte, automatische Erstellung von Zertifikaten für Internet Explorer und Firefox
• Bearbeitung von PKCS#10 Certificate Signing Requests (CSR)
• Zertifikatswiderruf – falls Ihr Zertifikat kompromittiert wird

Validierungs-Autorität (VA)

• Prüft die Gültigkeit eines Zertifikats bei Anmeldung
• Prüft den Gültigkeitszeitraum, Aussteller und Signatur
• Prüft widerrufene Zertifikate
• Prüft die Koppelung von Nutzern und Zertifikate

Vorteile

Über Public Key Infrastrukturen

Ein asymetrisches Schlüsselpaar ermöglicht das Signieren und die Verschlüsselung von Nachrichten und Dokumenten. Es kann auch zur Authentifizierung von Nutzern verwendet werden. Der Besitz eines Schlüsselpaares erlaubt es noch nicht die Identität eines Nutzers festzustellen. An diese Stelle tritt eine Zertifikatsautorität (CA), dieses Organisation prüft die Identität des Nutzers und stellt in Form eines Zertifikats eine Bestätigung über die Identität des Nutzers sowie die Gültigkeitsdauer aus: “Der Nutzer ist Herr X” (das Zertifikats-Subject). Diese Aussage ist gültig bis zu einem Datum Y. Ein Zertifikat ist also prinzipiell ein mit Information angereicherter öffentlicher Schlüssel, der zur Validierung der Authentizität von der CA signiert wird. Der ITU-T Standard, der das Format beschreibt ist: X.509.

Ein Zertifikat ist vergleichbar mit einem Ausweis, der gleichfalls nachweist, daß eine Person Herr oder Frau X ist. Wie auch beim Ausweis, so ist es auch bei einem Zertifikat notwendig, eine Fälschung schwierig bis unmöglich zu machen.

Die Registrierungsautorität wäre im richtigen Leben die Ausweisstelle und die Koppelung an die Identität würde mit der Geburtsurkunde oder einem anderen ähnlichen Nachweis erfolgen.

Ein Beispiel einer wirklichen Validierungsautorität ist die Passkontrolle bei Einreise in ein anderes Land. Dort wird der Ausweis geprüft in dem das Photo oder andere biometrische Merkmale im Ausweis mit denen der einreisenden Person verglichen werden.

Im Internet ist so eine visuelle Prüfung natürlich nicht möglich. In diesem Falle wird bei Anmeldung geprüft, ob die Person, die sich anmeldet, auch den zum präsentierten Zertifikat passenden privaten Schlüssel besitzt. Diese Prüfung erfolgt während des SSL Handshakes in dem eine mit dem öffentlichen Schlüssel im Zertifikat verschlüsselte Nachricht zur Entschlüsselung an den Nutzer gegeben wird. Hier wird wiederum das Zertifikat verwendet, in dem vermerkt ist, dass die sich anmeldende Identität Frau X ist.

Erste Schritte mit der SSOCircle PKI

1. Registrieren Sie Ihren Account bei SSOCircle (falls nicht bereits erfolgt )
2. Melden Sie sich an und gehen Sie zur Administrationsoberfläche
3. Verwenden Sie den Ausstellungsprozess – entweder automatisch oder manuell
4. Folgen Sie den Schritten von der Schlüsselerstellung über die Signierung bis zum Import in den Browser
5. Melden Sie sich ab und melden Sie sich nun mit dem Certificate Login Button auf der SSOCircle Loginseite an.
6. Veröffentlichen Sie Ihr Zertifikat in Ihrem öffentlichen Profile – jetzt kann es von anderen zur Verschlüsselung von Emails an Sie verwendet werden. Schauen Sie sich exemplarisch das Profil von Max Mustermann an.

Falls Ihre Sicherheitsanforderungen nach einer stärkeren Methode verlangen, erwerben Sie einen ePass oder StorePass USB Smartcard Token und folgen Sie den entsprechenden Ausstellungsschritten wie oben beschrieben. Der Token ist erhältlich bei RS-Computer.

*deu*