Es kommt immer häufiger vor, dass nicht nur Notes Clients der eigenen Domino-Domäne, sondern auch fremde Benutzer auf Daten eines Domino-Servers zugreifen sollen. So könnte es z.B. sein, dass ein Kunde Artikel-Dokumentationen lesen oder ein Lieferant aktuelle Preise und Lieferzeiten eintragen soll. In jedem Fall wäre es dann schön, wenn die Informationen direkt in Domino-Datenbanken gespeichert wären und die eigenen Benutzer für den Umgang mit diesen Daten ihre gewohnte Umgebung nicht verlassen müssten. In einer solchen Situation spielt die Sicherheit beim Datenzugriff eine große Rolle. Auch wenn Mitarbeiter einer Außenstelle das Internet als Zugriffsmedium verwenden, darf die Sicherheit nicht außer Acht gelassen werden. Um die größtmögliche Sicherheit bei solchen Datenzugriffen über das Internet zu gewährleisten, wird das SSL-Protokoll (Secure Socket Layer) verwendet und damit die notwendige Vertrauensbasis in der Kommunikation und Identifizierung für Verbindungen mit einem Domino-Server, der über TCP/IP arbeitet, hergestellt. Ähnlich der ID im Domino-System arbeitet auch SSL mit einem Zertifikat. Dieses Zertifikat wird von einem Zertifizierer der CA (Certificate Authority) ausgestellt. Diese CA garantiert mit ihren Zertifikaten die Vertrauenswürdigkeit der dahinterstehenden Server und Benutzer. Man unterscheidet öffentliche Zertifizierer (z.B. VeriSign) und private Zertifizierer. Das Domino-System kann eine Zertifizierungsstelle für die Verwendung über das SSL-Protokoll zur Verfügung stellen.
Zertifizierungsstelle anlegen
Zur Erstellung einer Domino-Zertifizierungsstelle für das Internet wird eine Datenbank aus der Schablone „CCA50.NTF“ angelegt. Der Name der Datenbank kann beliebig sein und auch für den Titel gibt es keine verbindlichen Vorschriften.
Abbildung 1: Zertifizierungsdatenbank konfigurieren
Im Startbild der neuen Datenbank sind die Schritte aufgeführt, die jetzt erforderlich sind:
1. Zulassungsschlüsselring & Zulassung erstellen
2. Zulassungsautoritätsprofil konfigurieren
3. Server-Schlüsselring & Zulassung erstellen
Unter einem Zulassungsschlüsselring ist eine Datei zu verstehen, die in ihrer Funktion der ID-Datei des Domino-Systems entspricht. Sie wird benötigt, um Verschlüsselung und Identifizierung über SSL durchzuführen. In ihr wird das Zertifikat gespeichert. Die Schlüsselringdatei wird standardmäßig in das Datenverzeichnis des Notes-Clients gespeichert. Soll sie an anderer Stelle verwendet werden, muss sie dorthin kopiert oder verschoben werden. Im übrigen gelten die gleichen Sicherheitsrichtlinien wie bei ID-Dateien unter Lotus Domino.
Schlüsselring-Datei und Zertifikat erstellen: Die Schlüsselring-Datei ist der Container für das oberste Zertifikat der neuen Zertifizierungsstelle und enthält deren privaten Schlüssel. Bei der Erstellung werden ähnliche Angaben gemacht, wie bei der Domino-Zulassungsstelle. Die Felder der Maske zur Erstellung der Schlüsselring-Datei sind bis auf wenige Ausnahmen zwingend auszufüllen. Mit Hilfe der Schaltfläche „Zertifizierungsstellen-Schlüsselring erstellen“ wird der Vorgang abgeschlossen und die Schlüsselring-Datei erstellt.
Das Zulassungsautoritätsprofil: Bei dem Zulassungsautoritätsprofil handelt es sich um ein Dokument, in dem Standardeinstellungen für die Verwaltung von Zertifikaten hinterlegt werden:
CA-Schlüsseldatei: Der Vorschlagswert für die Speicherung der Schlüsselring-Datei ist das Datenverzeichnis des Administrators, der die Zertifizierungsstelle angelegt hat. Soll diese Datei an einer anderen Stelle gespeichert werden, so muss im Profil die Pfad-Angabe angepasst werden.
DNS-Name des Zertifikatsservers: Voll qualifizierter Name des Zertifizierungsstellen-Servers, unter dem er über die Namensauflösung eines DNS zu finden ist.
SSL für Zertifikatstransaktionen verwenden: Der Vorschlagswert für diese Definition ist „Ja“, weil Zertifikate sinnvollerweise mit Hilfe von SSL übertragen werden sollten.
Anschlussnummer des Zertifikats-Servers: Der Standardport ist Post 80 und diese Nummer wird verwendet, wenn das Feld leer bleibt. Nur wenn der Server über einen anderen Anschluss arbeitet, muss hier ein Eintrag erfolgen.
Bestätigung des signierten Zertifikats an den Antragsteller senden? Wird diese Frage positiv beantwortet, erhält der Anforderer eines Zertifikates eine Bestätigung per e-Mail. Der Vorschlagswert ist „Ja“.
Sollen signierte Zertifikate in das Domino-Verzeichnis eingetragen werden? Dieser Eintrag in das Domino-Verzeichnis wird standardmäßig vorgenommen. Bei negativer Beantwortung entfällt ein Eintrag.
Vorgegebener Gültigkeitszeitraum: Bei diesem Wert ist zwischen höherer Arbeitsbelastung und höherer Sicherheit zu entscheiden. Der Vorgabewert von zwei Jahren stellt sicher einen vernünftigen Kompromiss dar.
Damit ist das Zulassungsautoritätsprofil definiert und kann mit Hilfe der Schaltfläche „Speichern und schließen“ gespeichert werden.
Server-Schlüsselring und Zulassung erstellen
Die Zulassungsstelle unterstellt, dass Zertifikatsanforderungen über das SSL-Protokoll und damit von zertifizierten Gegenstellen erfolgen. Deshalb muss auch der Zertifizierungs-Server ein Zertifikat der Zulassungsstelle erhalten.
Der Inhalt entspricht dem der Schlüsselring-Datei der Zulassungsstelle und wird mit Hilfe der Schaltfläche „Server-Schlüsselring erstellen“ im Datenverzeichnis des Administrators gespeichert.
Damit der Server über seine Schlüsselring-Dateien verfügen kann, werden sie mit Hilfe des Windows Explorers in das Daten-Verzeichnis des Servers kopiert. Es handelt sich dabei um die Dateien mit gleichem Namen und den Endungen „.kyr“ und „sth“.
Abbildung 2: Schlüsselringdateien des Servers
Als Nächstes werden Anpassungen im Server-Dokument vorgenommen. Im Administrator-Client wird unter „Konfiguration“ das aktuelle Server-Dokument ausgewählt. Im Register „Anschlüsse“ wird im Unterregister „Internet-Anschlüsse“ in dem Feld „Name der SSL-Schlüsseldatei“ der Name der neu erzeugten Schlüsseldatei des Servers eingetragen.
Abbildung 3: Schlüsseldatei im Server-Dokument eintragen
Unter dem Register „Web“ wird dann der SSL-Anschlussstatus auf „Aktiviert“ gesetzt. Bei den Optionen für die Authentifizierung wird neben Kennwort und Name auch das Client-Zertifikat auf „Ja“ gesetzt, damit eine zertifizierte SSL-Verbindung für den Datenzugriff vorausgesetzt wird. Damit ist der Schlüsselring-Server betriebsbereit.
Zertifikate und Zugriffe für Clients
Damit der Zugriff auf eine Datenbank über SSL erfolgen kann, muss das zunächst in den Datenbank-Eigenschaften festgelegt werden.
Der Benutzer, für den das Zertifikat verwendet werden soll, muss im Domino-Verzeichnis als Benutzer angelegt sein (er muss nicht unbedingt als Domino-Benutzer registriert sein). Danach kann er einzeln oder über eine Gruppe das gewünschte Zugriffsrecht (z.B. Autor) auf die Datenbank erhalten.
Im nächsten Schritt wird jetzt das Zertifikat für den Benutzer erstellt. Dazu öffnet der Benutzer die Schlüsselring-Datenbank über einen Browser. (Der HTTP-Prozess muss dazu auf dem Server gestartet sein.)
Als ersten Schritt übernimmt er die Zulassungsstelle in seinem Browser. Dazu klickt der Benutzer die Zeile „Diese Zertifizierungsstelle in Ihrem Browser akzeptieren“ an.
Abbildung 4: Zertifizierungsstelle im Browser akzeptieren
Es folgt eine Übersicht über die Daten der Zertifizierungsstelle und eine Zeile zum Akzeptieren. Es erscheint der Download-Dialog für die zu erstellende „.cer“-Datei.
Über die Internet-Optionen des Browsers wird die CER-Datei importiert und als vertrauenswürdige Zulassungsstelle implementiert.
Abbildung 5: Zulassungsstelle im Browser importieren
In dem Abschnitt der vertrauenswürdigen Stammzertifizierungsstellen ist jetzt die Zulassungsstelle aus Lotus Domino aufgeführt. Für die Benutzer-Zertifikate wird wieder die Zertifizierungsdatenbank über den Browser geöffnet und die Zeile „Client-Zertifikat“ angeklickt. Die Maske „Client-Zertifikat anfordern“ wird ausgefüllt und abgeschickt. Wird die Schaltfläche „Zertifikatsanforderung einreichen“ betätigt, erfolgt eine Bestätigung und der Hinweis auf eine e-Mail-Nachricht, die meldet, dass die Zertifizierung durch den Administrator bestätigt wurde. Der Administrator öffnet nun die Schlüsselring-Datenbank und lässt sich die Liste der Zertifizierungsanforderungen anzeigen.
Abbildung 6: Zertifikat annehmen
Die neue Anforderung wird geöffnet und vervollständigt. Danach kann sie bestätigt oder abgelehnt werden. Nach der Eingabe des Kennwortes für die Zertifizierungsstelle wird die Zertifizierung durchgeführt und der Benutzer per e-Mail informiert. Wird die angegebene URL nachgeschlagen, so öffnet der Browser das Dokument zur Annahme des Zertifikates.
Abbildung 7: Datenbankzugriff über den Browser
Wird das Zertifikat angenommen, so wird es beim Browser als Zertifikat eingetragen. Der Eintrag kann unter „Internetoptionen“ im Menü „Extras“ angezeigt werden. Die Schaltfläche „Zertifikate“ öffnet einen Dialog, in dem die Zertifikate aufgeführt sind. Mit Doppelklick werden die detaillierten Angaben zum Zertifikat angezeigt. Sobald das Zertifikat im Browser installiert ist, kann auf die vorbereitete Datenbank über einen Browser zugegriffen werden.
markus.schulte@arnold-und-stolzenberg.de
