SSL auf IBM i

Digitale Zertifikate im IBM i-Umfeld

Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, den Sie bei elektronischen Transaktionen zur Belegung Ihrer Identität verwenden können. Sie sind z. B. bei der Konfiguration und der Verwendung von Secure Sockets Layer (SSL) von zentraler Bedeutung. Durch den Einsatz von SSL können gesicherte Verbindungen zwischen Benutzern und Serveranwendungen innerhalb eines nicht anerkannten Netzwerks wie z. B. dem Internet herstellt werden.

Zahlreiche IBM i-Plattformen und -Anwendungen wie FTP, Telnet oder HTTP-Server stellen SSL-Unterstützung zur Gewährleistung der Vertraulichkeit von Daten zur Verfügung. Digitale Zertifikate und die zugehörigen Sicherheitsschlüssel können auch zum Signieren von Objekten eingesetzt werden. Damit wird unterbunden, dass Nachrichten verfälscht werden oder mehrere Nachrichten über denselben Schlüssel verfügen können. Digitale Signaturen verwenden das Prinzip der Kryptografie und nutzen Hash-Werte – und das über die Plattformgrenzen hinaus. Wichtig ist, dass die Standards für die digitalen Signaturen eingehalten werden und die notwendigen Schlüsselpaare für den Zugriff existieren und genutzt werden können.

Ein mögliches Beispiel für den Einsatz von Zertifikaten ist das Verschlüsseln der Datenverbindung. Der 5250-Datenstrom beispielsweise wird bei den klassischen 5250-Greenscreen-Oberflächen genutzt. Die Kommunikation mit dem Host (dem System i) ist dabei unverschlüsselt. Durch den Einsatz von Zertifikaten kann die Datenverbindung durch SSL verschlüsselt werden und dadurch für mehr Sicherheit in der Datenübertragung sorgen.

Das Lizenzprogramm SC1 (Basis und Option1) muss installiert sein. Die Konfiguration und die Administration der digitalen Zertifikate erfolgen mittels der HTTP-Administrationsoberfläche.

Dort lassen sich auch die unterschiedlichen Bereiche für die digitalen Zertifikate verwalten. Diese sind:

• Zertifizierungsinstanz (CA),
• Zertifikatsspeicher,
• Chiffrierung und
• Schlüsselpaare.

Zertifizierungsinstanz

Es ist gängige Praxis, dass Zertifikate von öffentlichen und privaten Zertifizierungsinstanzen (vertrauenswürdigen!) genutzt werden.

Zertifikatsspeicher

Beim Zertifikatsspeicher handelt es sich um eine spezielle Datenbank für das Speichern und Bereitstellen der Schlüssel. Er wird im Speziellen vom Digital Certificate Manager der System i genutzt und erlaubt es, unterschiedliche Bereiche einzurichten und eine Verwaltungshilfe für die genutzten Zertifikate einzusetzen. In diesem Bereich werden z. B. folgende Zertifikate unterschieden:

• lokale Zertifikate,
• *SYSTEM-Zertifikate,
• *OBJECTSIGNING-Zertifikate,
• *SIGNATUREVERIFICATION-Zertifikate und
• Speicher für andere Systemzertifikate.

Die Zertifizierungskomponenten, die mit dem DCM verwaltet werden, müssen im Regelfall im IFS abgelegt sein.

Chiffrierung

Beim Einsatz der Schlüsselpaare sind Chiffrierungen gegen unberechtigte Zugriffe wichtig. Im Zusammenspiel mit den Schlüsseln kommen auf dem System i folgende Chiffrierverfahren zum Einsatz:

• symmetrische Chiffrierung und
• asymmetrische Chiffrierung.

Die symmetrische Chiffrierung wird für die gemeinsamen Schlüssel verwendet. Zwei Teilnehmer nutzen denselben (geheimen) Schlüssel.

Die asymmetrische Chiffrierung wird mit öffentlichen Schlüsseln genutzt. Dabei wird für das Verschlüsseln und Entschlüsseln jeweils ein anderer Schlüssel eingesetzt. Die Schlüsselpaare bestehen jeweils aus einem öffentlichen und einem privaten Schlüssel, die sich auch mit der System i erzeugen und verwenden lassen. Der öffentliche Schlüssel wird in der Regel mittels eines digitalen Zertifikats weitergeleitet, während das Gegenstück – der private Schlüssel – sicher vom Empfänger aufbewahrt und eingesetzt wird.