Cortado Support

Meine Tickets Besuche www.cortado.com
Willkommen
Anmelden
  1. Cortado Support
  2. Lösungsstartseite
  3. Weitere Optionen bei Cortado Server
  4. Verschlüsselung (Certificates)

Zertifikatbasierte Verschlüsselung (Certificates)

Cortado Support
Geändert am: Mo, 14 Sep, 2020 at 1:28 NACHMITTAGS

Übersicht

Verschlüsselung zwischen Endgerät (Browser) und Server

Verschlüsselung zwischen Cortado-App (Endgerät) und Server

Übersicht

Zertifikate dienen der Authentifizierung von Servern und Endgeräten untereinander, um eine sichere Verbindung zwischen ihnen aufzubauen. Sie können einen Schlüssel enthalten, mit dem die Verschlüsselung von zu übertragenden Daten ermöglicht wird. Dieser Schlüssel wird von einem Passwort geschützt, das ebenfalls im Zertifikat gespeichert wird. Das vom Server empfangene Zertifikat muss vom Endgerät auf Ver­trauenswürdigkeit geprüft werden. Dazu kann es entweder das betreffende Root-Zer­tifikat oder den Schlüssel des Server-Zertifikates verwenden.

Gruppen von verwendeten Zerti­fikaten

  • bei einer öffentlichen Zertifizierungsstelle gekaufte Zertifikate (z. B. Symantec oder Comodo)
  • selbstgenerierte Zertifikate:
    • mit einer firmeneigenen Zertifizierungsstelle
    • mit dem Cortado-Server (self signed)

Typen von verwendeten Zertifikaten

  • Root-Zertifikat: repräsentiert eine Zertifizierungsstelle (jenen Rechner, der die anderen Zertifikate generiert). Root-Zertifikate dienen ausschließlich der Echt­heitsprüfung von Server-, Nutzer- oder Client-Zertifikaten.
  • Server-Zertifikat (SSL): dient der Identifizierung eines Servers gegenüber dem Client (hier: des Cortado-Servers beim Endgerät).
  • Client-Zertifikate: dient der Authentifizierung eines Clients beim Server (hier: des Nutzers oder des Endgerätes beim Cortado-Server; je nach ausgewähltem Modus)

Webseiten von Cor­tado Server

  • User Self Service Portal→ https:///up
  • Managementkonsole→ https:///fw
  • Web-App→ https:///cortadoworkplace/

Verschlüsselung zwischen Endgerät (Browser) und Server

Folgendes Bild zeigt, wie der Browser eines Endgerätes eine https-Seite anfordert – um zum Beispiel in das User Self Service Portal von Cortado Server zu gelangen – und wie der Cortado-Server mit dem Senden seines Zertifikates antwortet, um den Auf­bau einer mit SSL-verschlüsselten Verbindung einzuleiten.

Beispiel für den Einsatz eines Server-Zertifikates

Das vom Server empfangene Zertifikat muss vom Endgerät auf Vertrauenswürdigkeit geprüft werden. Dazu muss es das Root-Zertifikat verwenden. Sollte es sich nicht auf dem Gerät befinden (oder entspricht die eingegebene Serveradresse nicht der Schreibweise im Zertifikat), erhält der Nutzer eine Fehlermeldung:

„Dies ist keine sichere Verbindung“ (Bsp. Google Chrome)

Sie bzw. die Nutzer können die unsichere Verbindung einfach bestätigen.

Um jedoch diesen Zertifikatfehler zu vermeiden und eine sichere Verbindung zu gewährleisten, wird bei Cortado Server das Root-Zertifikat von den Nutzern selbst­ständig mit dem First Steps Wizard im User Self Service Portal heruntergeladen.

User Self Service Portal: Root-Zertifikat im First Steps Wizard herunterladen (Beispiel für iPhone)

Gleiches gilt auch für die Nutzung die Web-App im Browser einer Workstation. Das Root-Zertifikat kann auch hier auf das jeweilige Endgerät geladen werden. Das Herunterladen des Root-Zertifikates auf das Endgerät ist vor allem bei der Verwendung von selbstsignierten Zertifikaten nötig. Root-Zertifikate von offiziellen Zertifizierungsstellen sind in der Regel bereits auf den Endgeräten vorhanden.

Verschlüsselung zwischen Cortado-App (Endgerät) und Server

Root-Zertifikat

Außerdem wird eine mit SSL-verschlüsselte Verbindung zwischen der Cortado-App auf dem Endgerät und dem Cortado-Server eingerichtet. Diese Verbindung ermög­licht eine sichere Kommunikation über https inklusive der Abfrage von Benutzername und Passwort. Hierfür wird ebenfalls das Root-Zertifikat benutzt. Dieser Modus ist immer aktiv.

Beispiel für den Einsatz eines Server-Zertifikates

Client-Zertifikate (optional)

Um die Sicherheit zu erhöhen, können zusätzlich Client-Zertifikate eingesetzt wer­den (siehe Abschnitt Client-Zertifikate einrichten). Bei der Ver­wendung von Client-Zertifikaten wird die Identität des Endgerätes durch ein Zertifikat sichergestellt, das dem Server bereits bekannt ist.

Beispiel für den Einsatz eines Client-Zertifikates

  • Identifizierung des Servers gegenüber dem Endgerät mit Server-Zertifikat (inkl. Abfrage Benutzername/Passwort)
  • zusätzlich Authentifizierung mit Client-Zertifikat (optional):
    • ein globales Zertifikat für alle Endgeräte aller User
    • je ein Zertifikat pro User (= für alle Endgeräte eines Users)
    • je ein Zertifikat pro Endgeräte

Möchten Sie die Prüfung der Client-Zertifikate bereits in der DMZ vornehmen, gehen Sie vor wie im Abschnitt Proxy-Server installieren beschrieben.


War diese Antwort hilfreich? Ja Nein

Feedback senden
Entschuldigen Sie, dass wir nicht hilfreich sein konnten. Helfen Sie uns, diesen Artikel zu verbessern und geben uns dazu ein Feedback.

Related Articles