Vorheriges Thema: Zertifikatsverwaltung mit einer PKI-InfrastrukturNächstes Thema: Die CA Technologies-Objekt-ID für die private Authentifizierung

ENC (Extended Network Connectivity)Verwaltung von ZertifikatenZertifikatsanforderungen

Zertifikatsanforderungen

Das ENC-Gateway verwendet X.509 v3-Zertifikate, die zur Verwendung durch das standardmäßige Sicherheitsprotokoll TLS 1.0 (SSL 3.1) ausgegeben werden. Das ENC-Gateway kann standardmäßige TLS-Zertifikate verwenden, es unterstützt jedoch auch eine zusätzliche Schlüsselverwendungserweiterung, um dem ENC-Subsystem zu ermöglichen, Zertifikate zu identifizieren, die hauptsächlich für die Verwendung durch das ENC-Gateway vorgesehen sind.

Das ENC-Gateway sucht nach den besten Zertifikaten, die er für seine Identität laden kann. Beim ersten Passthrough sucht es nach gültigen Zertifikaten (mit den dazugehörigen privaten Schlüsseln), die mit der CA-ENC-Verwendungserweiterung (siehe (1) in der folgenden Tabelle) sowie jeweils (4) mit der TLS-Verwendungserweiterung für die Client-Authentifizierung (2) oder die Server-Authentifizierung (3) markiert sind.

Die folgende Tabelle gibt zusätzliche Details zu den im vorausgehenden Absatz mit (1) bis (4) gekennzeichneten Begriffen an:

Markierung

Informationen

(1)

CA Technologies hat intern eine Objekt-ID (OID) reserviert, die in X.509 v3-Zertifikaten als erweiterte Schlüsselverwendungs-ID verwendet werden soll (siehe RFC2459 Abschnitt 4.2.1.13). Diese OID gibt an, dass das Zertifikat zur Verwendung durch das ENC-Sicherheitssubsystem bestimmt ist.

  • Die Objekt-ID ist "1.3.6.1.4.1.791.2.10.8.3"
  • Das Objekt-ID-Tag ist "OID_PKIX_KP_CA_CMS_ENC_TLS_AUTH"
  • Die Verwendungserweiterung kann als kritisch oder nicht kritisch markiert werden.
  • Die CA Technologies-Basis-OID ist "1.3.6.1.4.1.791". Diese ist bei IANA registriert.

(2)

Die OID für die TLS-Client-Authentifizierung ist "1.3.6.1.5.5.7.3.2"

(3)

Die OID für die TLS-Server-Authentifizierung ist "1.3.6.1.5.5.7.3.1"

(4)

Für ENC-Gateway-Knoten, die sowohl als Client als auch als Server fungieren (Router und Gateway-Server), kann das Sicherheitssubsystem entweder ein einziges Zertifikat verwenden, das für die Client- und Server-Authentifizierung markiert ist, oder einzelne Zertifikate, die jeweils nur für die Client-Authentifizierung bzw. nur für die Server-Authentifizierung markiert sind.

Wenn das ENC-Gateway keine geeigneten Zertifikate findet, wiederholt es die Suche ohne die Anforderung der CA-ENC-Verwendungserweiterung.

Wenn Sie Zertifikate zur Verwendung durch das ENC-Gateway erstellen, wird empfohlen, dass Sie die CA-OID für die zusätzliche Schlüsselverwendung zu den Zertifikaten hinzufügen. Das ENC-Gateway funktioniert jedoch auch ohne sie.