Verschlüsselung zwischen Endgerät (Browser) und Server
Verschlüsselung zwischen Cortado-App (Endgerät) und Server
Übersicht
Zertifikate dienen der Authentifizierung von Servern und Endgeräten untereinander, um eine sichere Verbindung zwischen ihnen aufzubauen. Sie können einen Schlüssel enthalten, mit dem die Verschlüsselung von zu übertragenden Daten ermöglicht wird. Dieser Schlüssel wird von einem Passwort geschützt, das ebenfalls im Zertifikat gespeichert wird. Das vom Server empfangene Zertifikat muss vom Endgerät auf Vertrauenswürdigkeit geprüft werden. Dazu kann es entweder das betreffende Root-Zertifikat oder den Schlüssel des Server-Zertifikates verwenden.
Gruppen von verwendeten Zertifikaten
- bei einer öffentlichen Zertifizierungsstelle gekaufte Zertifikate (z. B. Symantec oder Comodo)
- selbstgenerierte Zertifikate:
- mit einer firmeneigenen Zertifizierungsstelle
- mit dem Cortado-Server (self signed)
Typen von verwendeten Zertifikaten
- Root-Zertifikat: repräsentiert eine Zertifizierungsstelle (jenen Rechner, der die anderen Zertifikate generiert). Root-Zertifikate dienen ausschließlich der Echtheitsprüfung von Server-, Nutzer- oder Client-Zertifikaten.
- Server-Zertifikat (SSL): dient der Identifizierung eines Servers gegenüber dem Client (hier: des Cortado-Servers beim Endgerät).
- Client-Zertifikate: dient der Authentifizierung eines Clients beim Server (hier: des Nutzers oder des Endgerätes beim Cortado-Server; je nach ausgewähltem Modus)
Webseiten von Cortado Server
- User Self Service Portal→ https:///up
- Managementkonsole→ https:///fw
- Web-App→ https:///cortadoworkplace/
Verschlüsselung zwischen Endgerät (Browser) und Server
Folgendes Bild zeigt, wie der Browser eines Endgerätes eine https-Seite anfordert – um zum Beispiel in das User Self Service Portal von Cortado Server zu gelangen – und wie der Cortado-Server mit dem Senden seines Zertifikates antwortet, um den Aufbau einer mit SSL-verschlüsselten Verbindung einzuleiten.
Das vom Server empfangene Zertifikat muss vom Endgerät auf Vertrauenswürdigkeit geprüft werden. Dazu muss es das Root-Zertifikat verwenden. Sollte es sich nicht auf dem Gerät befinden (oder entspricht die eingegebene Serveradresse nicht der Schreibweise im Zertifikat), erhält der Nutzer eine Fehlermeldung:
„Dies ist keine sichere Verbindung“ (Bsp. Google Chrome)
Sie bzw. die Nutzer können die unsichere Verbindung einfach bestätigen.
Um jedoch diesen Zertifikatfehler zu vermeiden und eine sichere Verbindung zu gewährleisten, wird bei Cortado Server das Root-Zertifikat von den Nutzern selbstständig mit dem First Steps Wizard im User Self Service Portal heruntergeladen.
Gleiches gilt auch für die Nutzung die Web-App im Browser einer Workstation. Das Root-Zertifikat kann auch hier auf das jeweilige Endgerät geladen werden. Das Herunterladen des Root-Zertifikates auf das Endgerät ist vor allem bei der Verwendung von selbstsignierten Zertifikaten nötig. Root-Zertifikate von offiziellen Zertifizierungsstellen sind in der Regel bereits auf den Endgeräten vorhanden.
Verschlüsselung zwischen Cortado-App (Endgerät) und Server
Root-Zertifikat
Außerdem wird eine mit SSL-verschlüsselte Verbindung zwischen der Cortado-App auf dem Endgerät und dem Cortado-Server eingerichtet. Diese Verbindung ermöglicht eine sichere Kommunikation über https inklusive der Abfrage von Benutzername und Passwort. Hierfür wird ebenfalls das Root-Zertifikat benutzt. Dieser Modus ist immer aktiv.
Client-Zertifikate (optional)
Um die Sicherheit zu erhöhen, können zusätzlich Client-Zertifikate eingesetzt werden (siehe Abschnitt Client-Zertifikate einrichten). Bei der Verwendung von Client-Zertifikaten wird die Identität des Endgerätes durch ein Zertifikat sichergestellt, das dem Server bereits bekannt ist.
- Identifizierung des Servers gegenüber dem Endgerät mit Server-Zertifikat (inkl. Abfrage Benutzername/Passwort)
- zusätzlich Authentifizierung mit Client-Zertifikat (optional):
- ein globales Zertifikat für alle Endgeräte aller User
- je ein Zertifikat pro User (= für alle Endgeräte eines Users)
- je ein Zertifikat pro Endgeräte
Möchten Sie die Prüfung der Client-Zertifikate bereits in der DMZ vornehmen, gehen Sie vor wie im Abschnitt Proxy-Server installieren beschrieben.