Trusted Root Certificates

15.01.2007 von Martin Kuppinger

Trusted Root Certificates oder Zertifikate von vertrauenswürdigen Stammzertifizierungsstellen werden bei Public- und Private-Key-Verfahren benötigt, um CAs zu identifizieren, deren Zertifikaten man vertraut. Der Artikel erläutert, wie diese Zertifikate bei Lotus Domino verwaltet werden.

Vertrauenswürdige Stammzertifizierungsstellen spielen in Public-/Private-Key-Verfahren eine zentrale Rolle. Über die Trusted Root Certificates wird identifiziert, welche CAs vertrauenswürdig sind und damit, welche Zertifikate akzeptiert werden dürfen und welche nicht. Das ist beispielsweise erforderlich, wenn bei SSL-Verbindungen auf einen Server zugegriffen oder mit S/MIME gearbeitet wird.

Lotus Domino stellt bereits einige vorinstallierte Stammzertifizierungsstellen bereit. Wenn man aber beispielsweise mit einer eigenen CA arbeitet oder mit einem externen Anbieter, der nicht in der Liste auftaucht, muss man diese entsprechend erweitern. Andernfalls kommt bestenfalls zu Warnmeldungen bei der Nutzung von Funktionen von Notes/Domino. Häufig werden in solchen Situationen aber auch Fehler erzeugt, die nicht mit einer sichtbaren Warnmeldung gekoppelt sind, weil Dienste im Hintergrund nicht funktionieren.

Typische Anwendungsbereiche

Die Frage dabei ist zunächst allerdings, in welchen Situationen solche Zertifikate überhaupt benötigt werden. Die typischen Anwendungsbereiche sind:

Serverseitiges SSL für die sichere Kommunikation mit Servern. Am häufigsten wird damit die Kommunikation über HTTP, LDAP sowie die Messaging-Protokolle IMAP, POP3 und SMTP gesichert.
Clientseitiges SSL für die Authentifizierung von Clients beim Zugriff auf Server.
E-Mail-Verschlüsselung über S/MIME. Beim serverseitigen SSL geht es darum, dass die Clients ein Zertifikat des Servers akzeptieren. Sie müssen also der Stammzertifizierungsstelle, die das Serverzertifikat ausgestellt hat, vertrauen. Wenn der Zugriff auf die Anwendung über einen externen Browser wie den Internet Explorer erfolgt, dann findet dort auch das Management der Zertifikate statt.

Standardmäßig wird dort beim Zugriff auf eine Website, bei deren Zertifikat es Probleme gibt, eine Warnmeldung angezeigt (Bild 1). Der erste Punkt bezieht sich dabei darauf, dass das Zertifikat von einer nicht als vertrauenswürdig eingestuften Stammzertifizierungsstelle herausgegeben wurde.

Bild 1: Der Zugriff über den Internet Explorer innerhalb von Notes auf eine Website mit einem Zertifikat einer nicht als vertrauenswürdig eingestuften CA.

Um solche Meldungen zu vermeiden, muss das Trusted Root Certificate im Internet Explorer über Extras/Internetoptionen hinzugefügt werden. Auf diesen Schritt wird an dieser Stelle nicht näher eingegangen.

Um dies bei Servern, beispielsweise für SSLgesicherte Verbindungen zu LDAP-Servern, bei der Directory Assistance durchzuführen, muss ein Zertifikat einer CA als Trusted Root Certificate in das Serverzertifikat integriert werden. In diesem Fall können die Prozeduren der CA verwendet werden. Bei der serverbasierenden CA von Lotus Domino wird mit der Server Certificate Administration-Anwendung gearbeitet. Über diese kann ein Zertifikat in eine Key-Ring-Datei aufgenommen werden. Damit werden die von dieser CA ausgestellten Zertifikate des Kommunikationspartners akzeptiert.

Kreuzzertifikate

Bei Notes-Clients wird in anderen Bereichen dagegen mit Internet-Kreuzzertifikaten gearbeitet. Wenn man das zentral steuern möchte, muss man zunächst ein entsprechendes Zertifikat im Domino Directory bereitstellen.

Die Zertifikate finden sich im Domino Directory unterhalb von Certificates bzw. im Domino Administrator im Register Configuration bei Certificates/Certificates. Internet-Zertifikate finden sich unterhalb von Internet Certifiers. Dort können auch neue Zertifizierer hinzugefügt werden. Diese stehen auch den Clients zur Verfügung. Viele Zertifikate der wichtigsten Stammzertifizierungsstellen sind bereits vordefiniert.

Die Zertifikate können von hier aus auch direkt mit Copy to Personal Address Book in das persönliche Adressbuch übernommen werden. Normalerweise werden Benutzer aber entweder, beispielsweise bei S/MIME, über Dialogfelder arbeiten, die direkt beim Senden oder Empfangen von E-Mails angezeigt werden und die eine direkte Kreuzzertifizierung erlauben, oder über den Bereich File/Security/User Security.

Hier lohnt es sich, auf Identity of others einen näheren Blick zu werfen, weil hier, nicht nur bezogen auf die Trusted Root Certificates, eine Reihe interessanter Optionen angeboten werden. Mit den Optionen Research name in directory and in your address book und Show all in your address book kann man auf Listen von Namen zugreifen und sich die Zertifikate zeigen lassen, auf denen der Trust zu diesen Personen und Diensten basiert. Bei Certificates lässt sich die Betrachtung dabei auf Internet-Zertifikate beschränken.

Über die Spalte Trust wird gesteuert, welchen der angezeigten Personen oder Dienste man vertrauen möchte und welchen nicht.

Find more about people

Die dritte Option, Find more about people/services, führt zu einem Dialogfeld mit drei Schaltflächen (Bild 2). Im oberen Bereich kann man auf andere Adressbücher zugreifen, um beispielsweise die Zertifikate für S/MIME zu ermitteln, falls man bisher noch keine Mails mit dem gewünschten Kommunikationspartner ausgetauscht hat.

Bild 2: Die Festlegungen zur Sicherheit von Personen und Diensten bei Lotus Notes.

Mit Download administrative trust defaults können darunter die Festlegungen zum Vertrauen aus dem Domino Directory geladen werden. Dabei handelt es sich um die Einstellungen, die vom Administrator festgelegt wurden. Bestehende Informationen werden unter Umständen überschrieben.

Schließlich kann mit Retrieve Internet service certificate auch direkt auf einen Server zugegriffen werden, um das Serverzertifikat anzufordern und eine Vertrauensbeziehung herzustellen. In der Regel kann mit den Protokoll-Standardeinstellungen gearbeitet werden. Falls es aber beispielsweise nur um ein Zertifikat für LDAP geht, müssen das Protokoll und der Port gegebenenfalls noch angepasst werden (Bild 3).

Bild 3: Der Zugriff auf einen Server, um dessen Zertifikat akzeptieren zu können.

Im folgenden Dialogfeld wird das Zertifikat angezeigt, dem vertraut werden soll. Mit ok wird die Vertrauensstellung hergestellt. Über Certificate Details kann man sich weitere Einzelheiten zu dem Zertifikat anzeigen lassen.

Vertrauensstellung

Bei Advanced Options finden sich die Details ebenfalls noch einmal in etwas anderer Darstellung. Dort kann mit Trust this Certificate direkt die Vertrauensstellung aufgebaut werden.

Zu beachten ist, dass man damit keine generelle Vertrauensstellung zu einer Stammzertifizierungsstelle aufbaut, sondern nur einem bestimmten Zertifikat vertraut.

Der clientseitige Umgang mit Authorities, also den Stellen, die Zertifikate ausstellen können, erfolgt bei Identity of others/Authorities. Dort wählt man beispielsweise über Trusted Internet die vertrauenswürdigen Stammzertifizierungsstellen aus. Mit Download administrative trust defaults from Home Server können administrative Festlegungen für die Vertrauensstellungen geladen werden. Mit Browse Authority Certificates on Server kann aber auch der Zugriff auf die Liste der im Domino Directory definierten Zertifikate erfolgen. Durch Anklicken von Trust vor den Namen der Server in der Liste All Internet lassen sich neue Stammzertifizierungsstellen hinzufügen. Zertifikate können von hier aus auch direkt in das Adressbuch kopiert werden. Details können ebenfalls betrachten werden.

Je nach Art der Nutzung von Zertifikaten muss man also unterschiedliche Ansätze für die Administration wählen. Man wird dennoch die Anwender bis zu einem gewissen Grad mit den erforderlichen Vorgehensweisen für das Zertifikatsmanagement vertraut machen müssen.