Absichern des Servers - eine Begriffserklärung
Mit „Absichern des Servers“ ist der Bezug eines vertrauenswürdigen SSL-Zertifikats und dessen Nutzung zum Verschlüsseln der Daten gemeint, die zwischen dem Server und den Clients eines Dienstes transferiert werden.
SSL ist eine häufig verwendete Methode, um auf der Basis eines kryptographischen Schlüssels über das Internet sichere verschlüsselte Verbindungen zwischen Servern und Client-Computern herzustellen.
Die folgende Anleitung ist für fortgeschrittene Benutzer konzipiert.
Vorbereitungen
Damit Sie dieses Tutorial nachvollziehen können, benötigen Sie Folgendes:
-
Einen vollständig qualifizierten Domain-Namen zum Erstellen eines Zertifikats
Weitere Informationen über Domain-Namen finden Sie bei Bedarf unter Hosting – Bereitstellen einer Website.
Im Folgenden wird „meinserver.example.com“ als Platzhalter für den vollständig qualifizierten Domain-Namen verwendet.
ACHTUNG: Wenn Sie diese Platzhalternamen verwenden, funktioniert die Konfiguration allerdings nicht. Der Name „example.com“ wird nur für Dokumente wie das hier vorliegende verwendet und ist nicht für reale Softwarekonfigurationen brauchbar. Verwenden Sie anstelle der Platzhalter Ihre spezifischen Einstellungen.
-
Ein von einer Zertifizierungsstelle (CA, Certificate Authority) signiertes Zertifikat
Die Zertifizierungsstelle „verbürgt sich“ für die Identität der Person oder Organisation, die ihre Dienste in Anspruch nimmt. Mit ihrer digitalen Unterschrift bestätigt die Zertifizierungsstelle die Vertrauenswürdigkeit des Zertifikats. Das Vertrauen, das der Zertifizierungsstelle entgegen gebracht wird, geht also auf das von der Zertifizierungsstelle signierte Zertifikat über, das von den Softwareprodukten verwendet wird. Auf Ihrem Mac-Computer und Ihrem iOS-Gerät sind die vertrauenswürdigen Stammzertifikate der am häufigsten benutzten Zertifizierungsstellen vorinstalliert.
Aktuell sind die folgenden kommerziellen Unternehmen als vertrauenswürdige Zertifizierungsstellen eingerichtet: VeriSign, Thawte, Geotrust, Comodo und GoDaddy.
Als Einstieg sollen einige zentrale Begriffe kurz erläutert werden
-
Ein Schlüssel ist eine eindeutige Informationseinheit auf der Basis langer Zahlenreihen. Bei einer Public-Key-Infrastruktur (PKI) werden Schlüsselpaare verwendet, die aus einem öffentlichen Schlüssel und einem privaten Schlüssel bestehen.
Schlüssel sind die Basis für die digitale Identität und die digitale Vertrauenskette.
Bei einem Zertifikat handelt es sich um ein elektronisches Dokument, das einen öffentlichen Schlüssel mit identifizierenden Informationen (Name, Organisation, E-Mail-Adresse usw.) enthält.
Sie benötigen ein Zertifikat, damit die Verbindungen zwischen Ihren Geräten und Ihrem Server verschlüsselt werden können. Das Zertifikat liefert dem Client eine Aussage darüber, von wem die Daten eines Dienstes stammen. Dadurch wird der Client in die Lage versetzt, mit dem Server eine sichere verschlüsselte Methode für den Datenaustausch auszuhandeln.
Ihnen sollte außerdem die Bedeutung der Begriffe „Signieren“ und „Vertrauenswürdig“ bekannt sein:
Durch das digitale Signieren „verbürgt“ sich der Signierende für die Echtheit eines Zertifikats. Handelt es sich bei dem Signierenden um eine Zertifizierungsstelle (Certificate Authority, CA), bestätigt die Stelle die Echtheit und Identität des Zertifikats. Das Vertrauen, das der Zertifizierungsstelle entgegen gebracht wird, geht also auf das von der Zertifizierungsstelle signierte Zertifikat über, das von den Softwareprodukten verwendet wird. Auf Ihrem Mac-Computer und Ihrem iOS-Gerät sind die vertrauenswürdigen Stammzertifikate der am häufigsten benutzten Zertifizierungsstellen vorinstalliert.
Sie können Ihren Server auch so einrichten, dass er eigene Zertifikate signiert; solche Zertifikate werden als selbstsignierte Zertifikate bezeichnet. Dabei ist aber zu beachten, dass die Client-Software keine Vertrauensbasis für ein selbstsigniertes Zertifikat besitzt und der jeweilige Benutzer gewarnt wird, dass das Zertifikat nicht verifiziert werden kann.
Wenn der Benutzer ein Zertifikat als vertrauenswürdig anerkennt, kann die Client-Software, die das Zertifikat nutzt, auf dessen Basis eine sichere verschlüsselte Verbindung zu dem Remote-Server herstellen, von dem der signierte öffentliche Schlüssel stammt.