Verschlüsselung zwischen Endgerät (Browser) und Server
Verschlüsselung zwischen Cortado-App (Endgerät) und Server
Übersicht
Zertifikate dienen der Authentifizierung von Servern und Endgeräten untereinander, um eine sichere Verbindung zwischen ihnen aufzubauen. Sie können einen Schlüssel enthalten, mit dem die Verschlüsselung von zu übertragenden Daten ermöglicht wird. Dieser Schlüssel wird von einem Passwort geschützt, das ebenfalls im Zertifikat gespeichert wird. Das vom Server empfangene Zertifikat muss vom Endgerät auf Vertrauenswürdigkeit geprüft werden. Dazu kann es entweder das betreffende Root-Zertifikat oder den Schlüssel des Server-Zertifikates verwenden.
Gruppen von verwendeten Zertifikaten
- bei einer öffentlichen Zertifizierungsstelle gekaufte Zertifikate (z. B. Symantec oder Comodo)
- selbstgenerierte Zertifikate (Verwendung für Cortado Server nicht mehr empfohlen!):
- mit einer firmeneigenen Zertifizierungsstelle
- mit dem Cortado-Server (self signed)
Typen von verwendeten Zertifikaten
- Root-Zertifikat: repräsentiert eine Zertifizierungsstelle (jenen Rechner, der die anderen Zertifikate generiert). Root-Zertifikate dienen ausschließlich der Echtheitsprüfung von Server-, Nutzer- oder Client-Zertifikaten.
- Server-Zertifikat (SSL): dient der Identifizierung eines Servers gegenüber dem Client (hier: des Cortado-Servers beim Endgerät).
- Client-Zertifikate: dient der Authentifizierung eines Clients beim Server (hier: des/der Nutzers/Nutzerin oder des Endgerätes beim Cortado-Server; je nach ausgewähltem Modus)
Webseiten von Cortado Server
- Benutzerportal→ https:///up
- Verwaltungsportal→ https:///fw
- Web-App→ https:///cortadoworkplace/
Verschlüsselung zwischen Endgerät (Browser) und Server
Folgendes Bild zeigt, wie der Browser eines Endgerätes eine https-Seite anfordert – um zum Beispiel in das Benutzerportal von Cortado Server zu gelangen – und wie der Cortado-Server mit dem Senden seines Zertifikates antwortet, um den Aufbau einer mit SSL-verschlüsselten Verbindung einzuleiten.
Das vom Server empfangene Zertifikat muss vom Endgerät auf Vertrauenswürdigkeit geprüft werden. Dazu muss es das Root-Zertifikat verwenden. Sollte es sich nicht auf dem Gerät befinden (oder entspricht die eingegebene Serveradresse nicht der Schreibweise im Zertifikat), erhält der/die Nutzer/-in eine Fehlermeldung:
„Dies ist keine sichere Verbindung“ (Bsp. Google Chrome)
Root-Zertifikate von offiziellen Zertifizierungsstellen sind in der Regel bereits auf den Endgeräten vorhanden.
Verschlüsselung zwischen Cortado-App (Endgerät) und Server
Root-Zertifikat
Außerdem wird eine mit SSL-verschlüsselte Verbindung zwischen der Cortado-App auf dem Endgerät und dem Cortado-Server eingerichtet. Diese Verbindung ermöglicht eine sichere Kommunikation über https inklusive der Abfrage von Benutzername und Passwort. Hierfür wird ebenfalls das Root-Zertifikat benutzt. Dieser Modus ist immer aktiv.
Client-Zertifikate (optional)
Um die Sicherheit zu erhöhen, können zusätzlich Client-Zertifikate eingesetzt werden (siehe Abschnitt Client-Zertifikate einrichten). Bei der Verwendung von Client-Zertifikaten wird die Identität des Endgerätes durch ein Zertifikat sichergestellt, das dem Server bereits bekannt ist.
- Identifizierung des Servers gegenüber dem Endgerät mit Server-Zertifikat (inkl. Abfrage Benutzername/Passwort)
- zusätzlich Authentifizierung mit Client-Zertifikat (optional):
- ein globales Zertifikat für alle Endgeräte aller User
- je ein Zertifikat pro User (= für alle Endgeräte eines Users)
- je ein Zertifikat pro Endgeräte
Möchten Sie die Prüfung der Client-Zertifikate bereits in der DMZ vornehmen, gehen Sie vor wie im Abschnitt Proxy-Server installieren beschrieben.