am fec secure ipsec client - bintec-elmeg.com · dieses dokument bechreibt wie aussteller- und...

Zertifikate

am FEC Secure IPSec Client

Zertifikate am Client

Benutzerhandbuch FEC Secure IPSec Client 1

http://www.funkwerk-ec.com

Wie Sie Funkwerk EnterpriseCommunications erreichen:

Funkwerk EnterpriseCommunications GmbH

Südwestpark 94D-90449 NürnbergGermanyTelephone: +49 180 300 9191 0Fax: +49 180 300 9193 0Internet: www.funkwerk-ec.com

CopyrightAlle Rechte sind vorbehalten. Kein Teildieses Handbuches darf ohne schriftli-che Genehmigung der Firma FunkwerkEnterprise Communications GmbH in ir-gendeiner Form reproduziert oder wei-terverwendet werden. Auch eine Bear-beitung, insbesondere eine Übersetzungder Dokumentation, ist ohne Genehmi-gung der Firma Funkwerk EnterpriseCommunications GmbH nicht gestattet.

MarkenFunkwerk Enterprise Communications,FEC und das FEC Logo sind eingetra-gene Warenzeichen. Erwähnte Firmen-und Produktnamen sind in der Regeleingetragene Warenzeichen der entspre-chenden Hersteller.

HaftungAlle Programme und das Handbuchwurden mit größter Sorgfalt erstellt undnach dem Stand der Technik auf Kor-rektheit überprüft. Alle Haftungsansprü-che infolge direkter oder indirekter Feh-ler, oder Zerstörungen, die im Zusam-menhang mit dem Programm stehen,sind ausdrücklich ausgeschlossen. Funk-werk Enterprise Communications GmbHhaftet nur im Umfang ihrer Verkaufs-und Lieferbedingungen und übernimmtkeine Gewähr für technische Ungenau-igkeiten und/oder Auslastungen.

Die Informationen in diesem Handbuchkönnen ohne Ankündigung geändertwerden. Zusätzliche Informationen so-wie Änderungen zu diesem Produkt fin-den Sie unter www.funkwerk-ec.com.


2 FEC Secure IPSec Client Benutzerhandbuch

http://www.funkwerk-ec.com

Zertifikate am Secure Client . . . . . . . . . . . . . . . . . . . . . 5Soft-Zertifikate und Chipkarten . . . . . . . . . . . . . . . . . . . 6Schnittstellen des Clients und PKI-Features . . . . . . . . . . . . . . 6Zertifikate zur Authentisierung verwenden . . . . . . . . . . . . . . 6Sicherheitsrichtlinien für die PIN-Eingabe . . . . . . . . . . . . . . 6CA-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . 6Verwendung einer Sperrliste (CRL) . . . . . . . . . . . . . . . . . 7Zertifikatskonfiguration . . . . . . . . . . . . . . . . . . . . . . 7

Multi-Zertifikatskonfiguration . . . . . . . . . . . . . . . . . . . . 8Manuelle Konfiguration . . . . . . . . . . . . . . . . . . . . . . 8

Zertifikatskonfiguration . . . . . . . . . . . . . . . . . . . . . . . 9Benutzer-Zertifikat . . . . . . . . . . . . . . . . . . . . . . . . 9Zertifikat aus Chipkartenleser (PC/SC) . . . . . . . . . . . . . . . . 10Zertifikat aus PKCS#12-Datei . . . . . . . . . . . . . . . . . . . 11Zertifikat über CSP . . . . . . . . . . . . . . . . . . . . . . . . 12Zertifikat über PKCS#11-Modul . . . . . . . . . . . . . . . . . . 12PIN-Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . 13Zertifikatsverlängerung . . . . . . . . . . . . . . . . . . . . . . 13

Zertifikate anzeigen . . . . . . . . . . . . . . . . . . . . . . . . . 14Anzeige von Erweiterungen bei eingehenden und CA-Zertifikaten . . . . 16

PIN-Eingabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Sicherung der PIN-Benutzung . . . . . . . . . . . . . . . . . . . 18

PC-Sharing (Nutzung mehrerer Soft-Zertifikate an einem PC) . . . . . . 20



Dieses Dokument bechreibt wie Aussteller- undBenutzer-Zertifikate am Secure Client einge-spielt werden, wie sie für den gewünschten Ver-wendungszweck über den Client Monitor konfi-guriert werden und welche Auswertungen durchden Client vorgenommen werden können.

Inhaltsübersicht

Wie die Parameter-Einstellungen in den einzelnenKonfigurationsfenstern vorgenommen werden kön-nen, ist in der Dokumentation Secure Client Para-meter beschrieben.

Am komfortabelsten erhalten Sie die gewünschtenInformationen über Client-Navigator. In dieserPDF-Datei sind alle aktuell verfügbaren Dokumen-te zu Ihrem Produkt verzeichnet.

Vom Navigator aus können Sie alle relevanten Do-kumente direkt anspringen und – falls sie nochnicht in Ihrem Navigatorverzeichnis gespeichertsind – von der Funkwerk-Homepage herunterladen.

– Zertifikate am Secure Client

– Manuelle Konfiguration

– Zertifikatskonfiguration

– Benutzer-Zertifikat

– PIN-Richtlinie

– Zertifikatsverlängerung

– Zertifikate anzeigen

– PIN-Eingabe

– PC-Sharing(Nutzung mehrerer Soft-Zertifikate an einem PC)


Zertifikate am Secure Client


Achtung!

Wenn sich das Dokument nicht in Ihrem Navigator-Verzeichnis befindet, kann es nicht geöffnet werden! Der Download ist im Navigator beschrieben.

Soft-Zertifikate und Chipkarten

Zertifikate werden von einer CA (CertificationAuthority) mittels PKI-Manager Software ausge-stellt. Sie können als Soft-Zertifikat in Dateiformerstellt werden oder auf Smartcard (Chipkarte)bzw. USB-Token gespeichert werden. Prinzipiellkönnen mit dem Secure Client Zertifikate einge-setzt werden, die einen privaten Schlüssel bis zu ei-ner Länge von 4096 Bits haben.

Schnittstellen des Clients und PKI-Features

Der Secure Client kann in Public Key Infrastruktu-ren nach X.509 V.3 Standard eingesetzt werden.

Der Secure Client unterstützt folgende Schnittstel-len / Formate:– Smartcards, USB-Token:PKCS#11, TCOS 1.2 und 2.0, CSP– Soft-Zertifikate: PKCS#12-Datei– PC/SC-konforme Chipkartenleser:Die Client Software unterstützt alle Chipkartenle-ser, die PC/SC-konform sind. Diese Chipkartenle-ser werden in einer Liste des Clients aufgenommen,wenn der Leser angeschlossen und die zugehörigeTreiber-Software installiert wurde.– Automatische Erkennung des angeschlossenenPC/SC-Lesers: Ist für das PKI-Umfeld die Ver-wendung eines PC/SC Chipkartenlesers am Clientkonfiguriert, so erkennt und verwendet der Clientautomatisch den jeweils angeschlossenen.Durch diesen Automatismus wird das Anlegen vonProfilen am Enterprise Management-System ver-einfacht, da in der zentralen Zertifikats-Konfigura-tion keine benutzerspezifischen Chipkartenleservorkonfiguriert werden müssen.Erhält der Benutzer vom Management System eineKonfiguration ohne Eintrag für einen Chipkartenle-ser und ist ein Zertifikat vorkonfiguriert, so liestder Client automatisch die Daten des PC/SC-Lesersein, der am Benutzer-PC installiert ist und verwen-det diesen Leser.Dieses Feature ist nur nutzbar in Verbindung mitSmartcards die ohne Schnittstellen-Software direktangesprochen werden können, wie NetKey-Chip-karten (Telesec).– PKCS#11-Modul: Mit der Software für dieSmartcards oder den Tokens werden Treiber inForm einer PKCS#11-Bibliothek (DLL) mitgelie-fert. Diese Treiber-Software muss zunächst instal-liert werden. Anschließend kann über einen Assi-stenten das entsprechende PKCS#11-Modul selek-tiert werden.

Der Secure Client verfügt außerdem über folgendeLeistungsmerkmale:

– PIN-Richtlinie: Der Administrator kann Bedin-gungen für die Eingabe beliebig komplexer PINs

vorgeben. Sie treten dann in Kraft wenn der Benut-zer die PIN ändern möchte.

– Zertifikats-Überprüfung: Am Secure Clientkann pro Link-Profil festgelegt werden, welcheEinträge in einem Zertifikat der Gegenstelle vor-handen sein müssen damit eine Verbindung herge-stellt wird.

– Zertifikatsverlängerung: Der Administratorkann vorgeben ob und wie viele Tage vor Ablaufder Gültigkeit des Zertifikats eine Meldung ausge-geben werden soll, die vor dem Ablauf der Gültig-keit warnt.

Zertifikate zur Authentisierung verwenden

Um für IPSec-Verbindungen Zertifikate zur Au-thentisierung verwenden zu können, darf für dieIKE-Richtlinie (Phase 1-Verhandlung) kein Pre-shared Key eingetragen sein. Nur dann könnenauch zertifikatsbasierte Vorschläge (Proposals) mitRSA-Signatur zur Gegenstelle geschickt werden.Dies kann unter IPSec-Einstellungen konfiguriertwerden. Für IPSec-Verbindungen ist der automat-ische Modus die Standardeinstellung, ansonstenwird die Verschlüsselung für IPSec-Verbindungenin der IPSec-Konfiguration definiert.

Sicherheitsrichtlinien für die PIN-Eingabe

Um ein Zertifikat einsetzen zu können, muss immerauch eine PIN eingegeben werden. Für diese PIN-Eingabe und für die Dauer der Gültigkeit wurdenspezielle Sicherheitsrichtlinien implementiert. Sowird z. B. der PIN-Status im Monitor des Clientsdargestellt. Die PIN kann manuell über das Moni-tormenü oder nach Entfernen des Zertifikats zu-rückgesetzt werden. So überwacht die Client Soft-ware, ob eine PKCS#12-Datei vorhanden ist. Wirdeine PKCS#12-Datei (Soft-Zertifikat) eingesetzt, z.B. auf einem USB-Stick oder einer SD-Karte ge-speichert, so wird nach dem Ziehen der SD-Kartedie PIN zurückgesetzt und eine bestehende Verbin-dung abgebaut. Dieser Vorgang entspricht demVerbindungsabbau bei gezogener Chipkarte, derbei Verwendung einer Chipkarte im Monitormenüunter “Konfiguration / Benutzer-Zertifikat” einge-stellt werden kann. Wird später die SD-Karte wie-der gesteckt, kann nach der erneuten PIN-Eingabedie Verbindung wieder hergestellt werden.

CA-Zertifikate

Der Administrator des Firmennetzes legt fest, wel-chen Ausstellern von Zertifikaten vertraut werdenkann. Dies geschieht dadurch, dass er die CA-Zerti-fikate seiner Wahl in das Installationsverzeichnis



unter <CACERTS> einspielt. Das Einspielen kannbei der Software-Distribution automatisiert stattfin-den, wenn sich die Aussteller-Zertifikate bei der In-stallation der Software von einem Datenträger dortim Verzeichnis <DISK1> befinden. Nachträglichkönnen Aussteller-Zertifikate vom Benutzer selbsteingestellt werden.

Derzeit werden die Formate *.pem und *.crt fürAussteller-Zertifikate unterstützt. Sie können imMonitor unter dem Hauptmenüpunkt “Verbindung /Zertifikate / CA-Zertifikate anzeigen” eingesehenwerden.

Wird am Secure Client das Zertifikat einer Gegen-stelle empfangen, so ermittelt der Client den Aus-steller indem er das Aussteller-Zertifikat, zunächstauf Smartcard bzw. USB-Token oder in derPKCS#12-Datei, anschließend im Installationsver-zeichnis unter <CACERTS> sucht. Kann das Aus-steller-Zertifikat nicht gefunden werden, kommtdie Verbindung nicht zustande. Sind keine Ausstel-ler-Zertifikate vorhanden, wird keine Verbindungzugelassen.

Verwendung einer Sperrliste (CRL)

Zu jedem Aussteller-Zertifikat kann dem SecureClient die zugehörige CRL (Certificate RevocationList) zur Verfügung gestellt werden. Sie wird indas Installationsverzeichnis unter <CRLS> ge-spielt. Ist eine CRL vorhanden, so überprüft derSecure Client eingehende Zertifikate daraufhin, obsie in der CRL geführt sind. Der Client lädt die zu-gehörige CRL automatisch herunter wenn das ein-gehende Benutzer-Zertifikat des Servers die Zerti-fikatserweiterung CDP enthält.

Werden Sperrlisten eingesetzt, so werden norma-lerweise dann keine Meldungen ausgegeben, wennam Client keine Sperrliste für eingehende Zertifika-te hinterlegt ist. Soll in solchen Fällen dennocheine Meldung ausgegeben werden, muss die DateiNCPPKI.CONF editiert werden. Sie befindet sichim Installations-Verzeichnis. Der Standardeintragim Abschnitt [General] lautet:Enablecrlinfo = 0Dies bewirkt, dass keine Meldungen ausgegebenwerden, wenn zu einem Zertifikat der Gegenstellekeine Sperrliste am Client gefunden wird. Soll eineMeldung ausgegeben werden, so muss diese Ein-stellung abgeändert werden auf:Enablecrlinfo = 1

Zertifikatskonfiguration

In der Konfiguration des Clients kann eine Vielzahlindividueller Zertifikatseinstellungen als Multi-Zertifikatskonfiguration hinterlegt werden. Aus

den verschiedenen Zertifikatskonfigurationen kannpro Profil jeweils eine selektiert werden. Dadurchbesteht die Möglichkeit unterschiedlicher Authenti-sierung mit verschiedenen Zertifikaten gegen ver-schiedene VPN-Gegenstellen, z. B. zu VPN Gate-way 1 mit Softzertifikat und zu Gateway 2 mit ei-nem auf Smartcard gespeicherten Zertifikat.

Die Zertifikatskonfiguration eines Clients älter alsVersion 2.1 wird bei einem Update auf diese Versi-on automatisch in die Standard Zertifikatskonfi-guration konvertiert. Ebenso wird die Standard-Zertifikatskonfiguration nach einer Erstinstallationder Version 9.1 eingerichtet wenn eine Testverbin-dung mit Zertifikat angelegt wird.

Eine spezielle Funktion zur Soft-Zertifikatsaus-wahl gestattet PC-Sharing für mehrere Benutzer,wobei jeder Benutzer des PCs mit seinem eigenenZertifikat arbeitet.

In der Zertifikats-Konfiguration können für diePfad-Angaben die Umgebungsvariablen des Be-triebssystems am Benutzer-PC eingesetzt werden.Die Variablen werden beim Schließen des Dialogsund beim Einlesen der Profil-Einstellungen umge-wandelt und in die Konfiguration zurück geschrie-ben. Existiert eine Umgebungsvariable nicht, wirdsie aus dem Pfad beim Umwandeln entfernt und einLog-Eintrag ins Logbuch geschrieben. Fehlt ein %-Zeichen (Syntax), bleibt die Variable stehen und eswird ebenfalls ein Log-Eintrag geschrieben.



Der Standardpfad für Soft-Zertifikate ist das Instal-lationsverzeichnis der Client Software.

Im Installationsverzeichnis befinden sich immerauch Test-Zertifikate für den Benutzer (Client1.p12bis Client4.p12) sowie ein CA-Zertifikat fürTestzwecke (NCPSupportCA.pem).

Der Standardpfad für Zertifikate, insbesondere fürZertifikate auf Tokens oder Smardcards, kann unt-zer Verwendung von Systemvariablen (am SEM)oder unter manueller Eingabe von Pfad und Datei-namen geändert werden.

Manuelle Konfiguration

Am Secure Client können mehrere verschiedene Zer-tifikatskonfigurationen angelegt werden, nachdemSie im Konfigurationsmenü des Client-Monitors dasUntermenü “Zertifikate" selektiert haben (Abb.oben). Prinzipiell kann pro Secure Client eine Viel-zahl von Zertifikatskonfigurationen unter einem je-weils eigenen Namen hinterlegt werden.

Nachdem “Zertifikate” selektiert wurde, wird eineStandard PKI-Konfiguration angezeigt (Abb. unten).Betätigen Sie den Bearbeiten- oder Hinzufügen-Buttonund Sie können eine neue Zertifikatskonfiguration mitneuem Namen hinzufügen (unten “Kartenleser”) odereine bestehende ändern (siehe nächste Seite).

Name und “Standard Zertifikatskonfiguration”

Die Zertifikatskonfiguration eines Clients älter alsVersion 2.1 wird bei einem Update auf 2.1 auto-matisch in die “Standard-Zertifikatskonfiguration”konvertiert. Ebenso wird die “Standard-Zertifikats-konfiguration” nach einer Erstinstallation der Ver-sion 2.1 eingerichtet.

Aus den verschiedenen Zertifikatskonfigurationenkann pro Profil jeweils eine selektiert werden. Da-durch besteht die Möglichkeit der Authentisierungmit verschiedenen Zertifikaten gegen unterschiedli-che VPN-Gegenstellen, z. B. zu VPN Gateway 1mit Softzertifikat und zu Gateway 2 mit einem aufSmartcard gespeicherten Zertifikat.

Für den Entry Client gilt: Im KonfigurationsfeldIdentität kann das Zertifikat dieser Zertifikatskon-figuration für die erweiterte Authentisierung (Ex-tended Authentication) selektiert werden.

Multi-Zertifikatskonfiguration



Achtung!


Zertifikatskonfiguration

Nachdem Sie den Bearbeiten- oder Hinzufügen-Buttonbetätigt haben, können Sie die Standardkonfigurationändern und der Zertifikatskonfiguration einen neuenNamen geben.

Zunächst wird festgelegt, ob Zertifikate zur Au-thentisierung des Clients eingesetzt werden und wodie Benutzer-Zertifikate hinterlegt werden.

In weiteren Konfigurationsfeldern werden dieRichtlinien zur PIN-Eingabe festgelegt und dasZeitintervall eingestellt, in dem vor dem Ablaufdes Zertifikats gewarnt und somit auf eine anste-hende Zertifikatsverlängerung aufmerksam ge-macht wird.

Benutzer-Zertifikat

ohne

Wählen Sie in der Listbox “Zertifikat” die Einstel-lung “ohne”, so wird kein Zertifikat ausgewertetund die erweiterte Authentisierung findet nichtstatt.

aus Chipkartenleser

Wählen sie “aus Chipkartenleser” in der Listbox,so werden bei der erweiterten Authentisierung dieZertifikate von der Smartcard in ihrem Chipkarten-leser ausgelesen.

aus PKCS#12-Datei

Wählen Sie “aus PKCS#12 Datei” aus der Listbox,so werden bei der erweiterten Authentisierung dieZertifikate aus einer Datei auf der Festplatte IhresRechners gelesen.

über PKCS#11-Modul

Wählen Sie “aus PKCS#11-Modul” aus derListbox, so werden bei der erweiterten Authentisie-rung die Zertifikate aus einem Token über einPKCS#11 Modul gelesen.

über CSP

Wurde diese Zertifikatsquelle selektiert, so wirddas Zertifikat von einer Chipkarte oder von einemToken über den Windows CSP (Certificate ServiceProvider) gelesen.

Entrust Profil

Beachten Sie hierzu bitte den Anhang zur “EntrustReady-Funktionalität”.



Zertifikat aus Chipkartenleser (PC/SC)

Wenn Sie die Zertifikate von der Smartcard mit IhremLesegerät nutzen wollen, wählen Sie Ihren Chipkarten-leser aus der Listbox. (Siehe auch: PIN eingeben).

Zertifikat aus Chipkartenleser

Die Client Software unterstützt automatisch alleChipkartenleser, die PC/SC-konform sind und er-kennt diese automatisch wenn sie korrekt ange-schlossen sind.

Die PC/SC-Schnittstelle wird nur geöffnet, wennein Verbindungsaufbau stattfindet, bei dem einChipkartenzugriff erfolgt. D. h. auch andere Appli-kationen können im “exclusiven” Modus diePC/SC-Schnittstelle öffnen.

Hinweis: Ist vom Administrator bei der Erstellungder Profile mit dem zentralen Management-Systemdie Verwendung eines Zertifikats über einenPC/SC-Chipkartenleser vorgesehen, so kann fol-gender Automatismus genutzt werden:

Erhält der Benutzer vom Management System ein Pro-fil ohne Eintrag für einen Chipkartenleser und ist einZertifikat vorkonfiguriert, so liest der Client automat-isch die Daten desjenigen PC/SC-Lesers ein, der amBenutzer-PC installiert ist und verwendet diesen Leser.

Dieses Feature ist nur nutzbar in Verbindung mitSmartcards die ohne Schnittstellen-Software direkt an-gesprochen werden können (z. B. TCOS, Netkey vonTelesec und TC Trust).

Chipkartenleser

Wird der Chipkartenleser nach dem Client installiert,erkennt der Client den angeschlossenen Chipkartenle-ser erst nach einem Boot-Vorgang (Abb. oben). Erstdann kann der installierte Leser ausgewählt und ge-nutzt werden.

Auswahl Zertifikat

1. Zertifikat ...4.(Standard = 1) Aus der Listbox kann aus bis zu vierverschiedenen Zertifikaten gewählt werden, diesich auf der Chipkarte befinden. Die Anzahl derZertifikate auf der Chipkarte ist abhängig von derRegistration Authority, die diese Karte brennt.Wenden Sie sich zu weiteren Fragen bitte an IhrenSystemadministrator.

Auf den Chipkarten von NetKey 2000 befindensich drei Zertifikate:(1) zum Signieren(2) zum Ver- und Entschlüsseln(3) zum Authentisieren (optional bei NetKey 2000)

Port

Haben Sie oben “aus Chipkartenleser” gewählt, somuss hier der Port für den Chipkartenleser eingege-ben werden.

AutomatikDer Port wird bei korrekter Installation des Lesege-räts automatisch bestimmt.

COM1 ... COM4 :Bei Unstimmigkeiten können die COM Ports 1-4gezielt angesteuert werden.

Verbindungsabbau bei gezogener Chipkarte

Beim Ziehen der Chipkarte wird nicht unbedingtdie Verbindung abgebaut. Ob “Kein Verbindungs-abbau bei gezogener Chipkarte” erfolgt, wird andieser Stelle eingestellt.



Zertifikat aus PKCS#12-Datei

PKCS#12-Dateiname

Nutzen Sie das PKCS#12-Format, so erhalten Sievon Ihrem Systemadministrator eine Datei, die aufder Festplatte Ihres Rechners eingespielt werdenmuss. In diesem Fall muss Pfad und Dateiname derPKCS#12 Datei eingegeben, bzw. nach einemKlick auf den [...]-Button (Auswahl-Button) mussdie Datei ausgewählt werden.

Wichtig: Die Strings für den Dateinamen könnenmit Variablen eingegeben werden. Dies erleichtertinsbesondere das Handling der Konfigurationsda-teien mit dem Client Plug-in des SEM, da nun füralle Benutzer die gleichen Strings mit Umgebungs-variablen eingegeben werden können. Zum Bei-spiel:

Softzertifikatsauswahl aktivieren

Diese Funktion wird nur für PC-Sharing benötigt,wenn die Benutzer des PCs mit Soft-Zertifikatenarbeiten. Beachten Sie dazu unbedingt die Be-schreibung weiter unten Nutzung mehrerer Soft-Zertifikate mit einem Link-Profil.

Bei Einsatz von Soft-Zertifikaten kann der Zertifi-katspfad für die PKCS#12-Dateien festgelegt wer-den, nachdem die Softzertifikatsauswahl aktiviertwurde. Unter dem Parameterfeld des Monitors er-scheint dann ein Auswahlfeld mit allen Zertifikatenunter dem angegeben Verzeichnis (siehe Client-Monitor). Wird ein Soft-Zertifikat ausgewählt,wird die zu diesem Zertifikat gehörige Konfigurati-

on aktiv und entsprechend die Verbindung abge-baut und die PIN zurückgesetzt. Alternativ kannbei einem Benutzerwechsel die PIN über den But-ton “Abmelden” oder über das Menü “PIN zurück-setzen” zurückgesetz werden.

Zertifikatspfad

Der Zertifikatspfad wird nur bei PC-Sharing benö-tigt.

PIN-Abfrage bei jedem Verbindungsaufbau

Hier kann eingestellt werden, dass die PIN nichtnur nach jedem ersten Verbindungsaufbau nachdem Booten des PCs sondern vor jedem Verbin-dungsaufbau korrekt eingegeben werden muss.Diese Funktionalität, die für alle Verbindungsmodi(manuell, automatisch, wechselnd) genutzt werdenkann, erfordert, dass der Monitor gestartet ist. DerMonitor darf allerdings minimiert sein.

Wichtig: Ist der Monitor nicht gestartet, kann keinPIN-Dialog erfolgen. In diesem Fall wird bei ei-nem automatischen Verbindungsaufbau die Verbin-dung ohne erneute PIN-Eingabe hergestellt!

%SYSTEMROOT% > Windows-Verzeichnis (c:\Windows)%INSTALLDIR% > NCP Installationsverzeichnis(c:\Programme\NCP\SecureCli-ent)%PROGDIR% > Windows Programmverzeichnis (c:\Programme)%windir% > C:\Windows%NCPUSERDIR% > Mit d i esem Pl a t zha l t er fü r d ie Konf igura t ion der P12-Date i wi rd das Benut zer -Verze ichni s ( z . B . C: \ Dokumente und Ei ns te l lungen \UserXY) erse t z t . Somi t i s t e s mögl ich , dass s ichmi t d ie se r Zer t i f ka t skonf igura t ion der ak tue l l e Windows-Benut zer mi t se inen Zert i f i ka t sda ten amVPN-Gateway anme lde t . (D iese Funk t ion wird n ich t in der NCP GINA un ters tü t z t ) .



Achtung!


Zertifikat über CSP

Wurde diese Zertifikatsquelle selektiert, so wirddas Zertifikat von einer Chipkarte oder von einemToken über den Windows CSP (Certificate ServiceProvider) gelesen, wenn die entsprechende Schnitt-stelle am CSP installiert und registriert wurde.

Ist die Zertifikatsnummer “0" konfiguriert, wirddas erste gefundene Zertifikat mit der Erweiterung”SSL Client Authentication" verwendet.

Bitte beachten Sie, dass derzeit der Zugriff auf denBenutzer-Zertifikatsspeicher von Windows nichtunterstützt wird.

Zertifikat über PKCS#11-Modul

Nutzen Sie das PKCS#11-Format, so erhalten Sieeine DLL vom Hersteller des Chipkartenlesers oderdes Tokens, die auf der Festplatte Ihres Rechnerseingespielt werden muss. In diesem Fall muss Pfadund Dateiname des Treibers eingegeben werden.

Mit Hilfe eines Assistenten können Sie nach instal-lierten PKCS#11-Modulen suchen und das ge-wünschte Modul mit dem dazugehörigen Slot se-lektieren. Dazu klicken Sie auf den [...]-Button inder Zeile mit PKCS#11-Modul (siehe Bild oben).



PIN-Richtlinie

Der Administrator (oder Benutzer) kann PIN-Richtlinien festlegen, die bei der PIN-Eingabe oder-Änderung beachtet werden müssen. Die hier aus-gewählten Richtlinien erscheinen als Liste von Be-dingungen, die bei der Änderung der PIN eingehal-ten werden müssen (Abb. unten).

Zertifikatsverlängerung

Hier wird eingestellt, ob und wie viele Tage vorAblauf der Gültigkeit des Zertifikats eine Meldungausgegeben werden soll, die vor dem Ablauf derGültigkeit warnt. Sobald die eingestellte Zeitspan-ne vor Ablauf in Kraft tritt, wird bei jeder Zertifi-katsverwendung eine Meldung aufgeblendet, dieauf das Ablaufdatum des Zertifikats hinweist.

Das neue Zertifikat muss manuell eingespielt wer-den.



Zertifikate anzeigen

Je nachdem, welche Zertifikate konfiguriert wurdenund ob nach einem Verbindungsaufbau bereits ein Zer-tifikat der Gegenstelle eingegangen ist, können die je-weiligen Zertifikate über das Verbindungsmenü desMonitors betrachtet werden (Abb. oben und unten).

Die Anzeigefelder unter “Allgemein” sind für alle Zer-tifikate außer dem CA-Zertifikat gleich. Daher sind imfolgenden diese Felder nur einmal beschrieben.

Wenn Sie sich ein Aussteller-, Be-nutzer- oder Hardware-Zertifikatanzeigen lassen, werden die zur Er-stellung des Zertifikats genutztenMerkmale gezeigt, z. B. die eindeu-tige E-Mail-Adresse.

Das eingehende Zertifikat wird beider SSL-Verhandlung von der Ge-genstelle übermittelt. Sie können z.B. sehen, ob Sie den hier gezeigtenAussteller in der Liste Ihrer CA-Zertifikate aufgenommen haben.

Aussteller (CA)

Benutzer und Aussteller eines Aussteller-Zertifika-tes müssen für gewöhnlich identisch sein (self-signed certificate).

Der Aussteller Ihres Benutzer-Zertifikates mussmit dem Aussteller des Aussteller-Zertifikatesidentisch sein.

Seriennummer

Nach der Seriennummer werden die Zertifikateggf. mit den in der Revocation List der Certificati-on Authority gehaltenen verglichen.

Gültigkeitsdauer

Die Gültigkeitsdauer der Zertifikate ist beschränkt.Die Gültigkeitsdauer eines Aussteller(Root)-Zerti-fikats ist in aller Regel länger als die eines Benut-zer-Zertifikats. Mit Erlöschen der Gültigkeit gehtauch die Funktion des Zertifikats verloren. Mitdem Erlöschen der Gültigkeit des Aussteller-Zerti-fikats erlischt automatisch die Gültigkeit einesvom gleichen Aussteller ausgestellten Benutzer-Zertifikats.

Fingerprint

Der Fingerprint ist ein Hash-Wert, der über dasZertifikat gebildet wird, um dessen Eindeutigkeitmit anderen Zertifikaten vergleichen zu können.


CA-Zertifikate anzeigen

Die Client Software verfügt über eine Multi CA-Unterstützung. Dazu müssen die Aussteller-Zertifi-kate im Installations-Verzeichnis unter <CA-CERTS> gesammelt werden. Dies ist dann sinnvollwenn das Benutzer-Zertifikat einer Gegenstelle voneiner anderen CA ausgestellt wurde als das Benut-zer-Zertifikat des Clients.

Gültige CA-Zertifikate werden mit einem grünenHaken markiert, ungültige mit einem roten Kreuz(Abb. oben). Mit Doppelklick auf eines der CA-Zertifikate werden die gleichen Anzeigefelder ge-zeigt wie auf der vorigen Seite beschrieben.

Wird das Zertifikat einer Gegenstelle empfangen,so ermittelt der Client den Aussteller und sucht an-schließend das Aussteller-Zertifikat, zunächst aufSmartcard oder in der PKCS#12-Datei, anschlie-ßend im Installations-Verzeichnis unter <CA-CERTS>. Kann das Aussteller-Zertifikat nicht ge-funden werden, kommt die Verbindung nicht zu-stande. Sind keine Aussteller-Zertifikate vorhan-den, wird keine Verbindung zugelassen. (Sieheoben CA-Zertifikate.)



Zertifikate können Erweiterungen (Extensions) er-fahren. Diese dienen zur Verknüpfung von zusätzli-chen Attributen mit Benutzern oder öffentlichenSchlüsseln, die für die Verwaltung und den Betriebder Zerifizierungshierarchie und der Sperrlisten(Revocation Lists) benötigt werden. Prinzipiellkönnen Zertifikate eine beliebige Anzahl von Er-weiterungen inklusive privat definierter beinhalten.Die Zertifikats-Erweiterungen werden von der aus-stellenden Certification Authority in das Zertifikatgeschrieben. Für den Secure Client und den SecureServer sind folgende Erweiterungen von Bedeu-tung:

– KeyUsage– extendedKeyUsage– subjectKeyIdentifier– authorityKeyIdentifier– CDP (Certificate Distribution Point)

Das CA-Zertifikat, dessen Erweiterungen angezeigtwerden sollen, muss mit einem Doppelklick imFenster für CA-Zertifikate (siehe oben) geöffnetwerden. Das Ansichtsfeld “Extensions” zeigt dieZertifikatserweiterungen, sofern sie vorhanden sind(Abb. unten).

KeyUsage

Ist in einen eingehenden Zertifikat die ErweiterungKeyUsage enthalten, so wird diese überprüft. Fol-gende KeyUsage-Bits werden akzeptiert:

– Digitale Signatur– Key Encipherment (Schlüsseltransport,Schlüsselverwaltung)– Key Agreement (Schlüsselaustauschverfahren)Ist eines der Bits nicht gesetzt, wird dieVerbindung abgebaut.

extendedKeyUsage

Befindet sich in einem eingehenden Benutzer-Zer-tifikat die Erweiterung extendedKeyUsage so prüftder Secure Client, ob der definierte erweiterte Ver-wendungszweck die “SSL-Server-Authentisierung”ist. Ist das eingehende Zertifikat nicht zur Server-Authentisierung vorgesehen, so wird die Verbin-dung abgelehnt. Ist diese Erweiterung nicht im Zer-tifikat vorhanden, so wird diese ignoriert.

Bitte beachten Sie, dass die SSL-Server-Authenti-sierung richtungsabhängig ist. D. h. der Initiatordes Tunnelaufbaus prüft das eingehende Zertifikatder Gegenstelle, das, sofern die Erweiterung ex-tendedKeyUsage vorhanden ist, den Verwen-dungszweck “SSL-Server-Authentisierung” bein-halten muss. Dies gilt auch bei einem Rückruf anden Client über VPN.

Ausnahme: Bei einem Rückruf des Servers an denClient nach einer Direkteinwahl ohne VPN abermit PKI prüft der Server das Zertifikat des Clientsauf die Erweiterung extendedKeyUsage. Ist diesevorhanden, muss der Verwendungszweck “SSL-Server-Authentisierung” beinhaltet sein, sonst wirddie Verbindung abgelehnt. Ist diese Erweiterungnicht im Zertifikat vorhanden, so wird diese igno-riert.

subjectKeyIdentifier / authorityKeyIdentifier

Ein keyIdentifier ist eine zusätzliche ID (Has-hwert) zum CA-Namen auf einem Zertifikat. DerauthorityKeyIdentifier (SHA1-Hash über denpublic Key des Ausstellers) am eingehenden Zerti-fikat muss mit dem subjectKeyIdentifier (SHA1-Hash über den public Key des Inhabers) am ent-sprechenden CA-Zertifikat übereinstimmen. Kannkein CA-Zertifikat gefunden werden, wird die Ver-bindung abgelehnt.

Anzeige von Erweiterungen bei eingehenden und CA-Zertifikaten



CDP (Certificate Distribution Point)

Im Certificate Distribution Point ist die URL fürden Download einer CRL hinterlegt. Ist im einge-henden Zertifikat (des Servers) die ErweiterungCDP enthalten, wird nach dem Verbindungsaufbauzum Server die aktuelle CRL nach diesem Zertifi-kat durchsucht. Dabei prüft der Client zunächst, obbereits die entsprechende CRL bereits im Installati-onsverzeichnis vorhanden ist. Ist dies nicht der Fallwird die CRL über die angegebene URL herunter-geladen und überprüft, vorausgesetzt eine Internet-Verbindung ist möglich. Stellt der Client fest, dassdas eingehende Zertifikat ungültig ist, wird dieVerbindung abgebaut. Die CRL, sofern noch nichtgespeichert, wird dabei unter dem Common-Nameder CA im Installationsverzeichnis unter <CRLS>gespeichert.

Überprüfung von Sperrlisten

Der Secure Client kann auch Revocation-Lists aus-werten. Folgende Listen werden unterstützt:

– Certificate Revocation List (CRL)– Authority Revocation List (ARL)

Die CRLs bzw. ARLs müssen in die entsprechen-den Unterverzeichnisse des Installationsverzeich-nisses nach <CRLS> bzw. <ARLS> kopiert wer-den.

Zu jedem Aussteller-Zertifikat kann dem SecureClient die zugehörige CRL (Certificate RevocationList) zur Verfügung gestellt werden. Ist eine CRLvorhanden, so überprüft der Secure Client einge-hende Zertifikate daraufhin, ob sie in der CRL ge-führt sind. Gleiches gilt für eine ARL (AuthorityRevocation List).

Sind eingehende Zertifikate in den Listen von CRLoder ARL enthalten, wird die Verbindung nicht zu-gelassen. Sind CRLs oder ARLs nicht vorhandenfindet keine diesbezügliche Überprüfung statt.

HTTP Proxy für CRL Download

In der Datei NCPPKI.CONF im Installationsver-zeichnis kann in der Gruppe “HttpProxy” ein Proxyfür den CRL Download über HTTP konfiguriertwerden:

[HttpProxy]#ProxyHost = xxx.xxx.xxx.xxx#IP Adresse des Proxy Servers für CRL Download über#HTTP ProxyPort = 80#Port des Proxy Servers für CRL Download über#HTTP ProxyUser = xyz#Benutzername des Proxy Servers für CRL Download über#HTTP ProxyPw = xxxx#Passwort des Proxy Servers für CRL Download über HTTP



PIN-Eingabe

Die PIN-Eingabe kann über das Verbindungsmenüdes Monitors (Abb. oben) vor einem Verbindungs-aufbau erfolgen, nachdem der Monitor gestartetwurde. Wird zu einem späteren Zeitpunkt eine Ver-bindung aufgebaut, die ein Zertifikat erfordert, sokann dann die PIN-Eingabe unterbleiben – es seidenn, die Konfiguration zum Zertifikat verlangt es(siehe PIN-Abfrage bei jedem Verbindungsauf-bau).

Wenn Sie den Secure Client zur Verwendung einerSmartcard konfiguriert haben, erscheint ein hell-blaues Symbol für die Smartcard. Wenn Sie IhreSmartcard in den Reader gesteckt haben, ändertsich die Farbe von hellblau zu grün (siehe Client-Monitor).

Sobald Sie die erste Verbindung aufbauen wollen,für die ein Zertifikat genutzt wird, wird ein Dialogzur PIN-Eingabe geöffnet – sofern Sie die PINnoch nicht vorher eingegeben haben (Abb. unten).

Wird ein Soft-Zertifikat verwendet, so kann diePIN 4-stellig sein. Wird eine Chipkarte verwendet,muss die PIN mindestens 6-stellig sein.

Fehlerhafte Eingaben und falsche PINs werdennach ca. 3 Sekunden mit einer Fehlermeldung quit-tiert. Ein Verbindungsaufbau ist dann nicht mög-lich. Nach dreimaliger fehlerhafter Eingabe derPIN, wird die PIN gesperrt! (Dies gilt nicht fürSoft-Zertifikate). Wenden Sie sich in diesem Fallan Ihren Administrator.

Wenn die Chipkarte während des laufenden Be-triebs entfernt wird, findet u. U. ein Verbindungs-abbau statt (siehe oben Verbindungsabbau bei ge-zogener Chipkarte). (Gleiches gilt für Token auf ei-nem USB Stick.)

Sicherung der PIN-Benutzung

Ist in der Zertifikatskonfiguration die Funktion“PIN-Abfrage bei jedem Verbindungsaufbau” akti-viert, wird der Menüpunkt “PIN eingeben” auto-matisch inaktiv geschaltet. Die PIN kann über denMonitor-Menüpunkt “PIN eingeben” somit nichtmehr eingegeben werden. Damit ist sichergestellt,dass erst unmittelbar vor dem Verbindungsaufbaudie PIN abgefragt wird und eingegeben werdenmuss.

Bei Aktivierung dieser Funktion ist damit ausge-schlossen, dass ein unbefugter Benutzer bei bereitseingegebener PIN eine unerwünschte Verbindungaufbaut.

Ebenso wird für die Aktivschaltung der Funktion“PIN ändern” nicht mehr die bereits in anderemFunktionszusammenhang abgeforderte PIN ver-wendet, wie etwa beim Verbindungsaufbau oder imVerbindungsmenü “PIN eingeben”. Sondern derMenüpunkt “PIN ändern” ist immer selektierbar,und die neue PIN wird unmittelbar nach der Ände-rung sogleich wieder zurückgesetzt.

Damit ist sichergestellt, dass bei Konfiguration der“PIN-Abfrage bei jedem Verbindungsaufbau” aneinem unbeaufsichtigten Client-Monitor zu keinemZeitpunkt eine bereits eingegebene PIN von einemunbefugten Benutzer für einen Verbindungsaufbaugenutzt werden kann.



PIN zurücksetzen

Dieser Menüpunkt kann gewählt werden, um diePIN zu löschen, d.h. um die aktuell gültige PIN füreinen anderen Benutzer unbrauchbar zu machen.Dies kann dann sinnvoll sein, wenn der Arbeits-platz vorübergehend verlassen wird oder wenn derBenutzer gewechselt wird. Danach muss erneuteine gültige PIN eingegeben werden, um eine Au-thentisierung durchführen zu können.

PIN-Status im Client Monitor

Wurde die PIN bereits eingegeben, erscheint imMonitor die Einblendung “PIN” mit einem grünenSymbol. Wurde die PIN noch nicht korrekt einge-geben, ist das Symbol grau (Abb. unten).

PIN-Eingabezwang nach Abmeldung oderSleep-Mode

Wird unter den Betriebssystemen WindowsNT/2000/XP der Benutzer gewechselt, wird derPIN-Status zurückgesetzt und die PIN muss erneuteingegeben werden. Wechselt der Computer in denSleep-Modus, wird ebenfalls der PIN-Status zu-rückgesetzt.

Anzeige der Meldungen des ACE-Servers fürRSA-Token

Werden vom ACE-Server auf Grund des RSA-To-kens Nachrichten versendet, werden diese am Mo-nitor in einem Eingabefeld angezeigt (z. B. “Ab-lauf der gültigen PIN”).

PIN ändern

Unter dem Menüpunkt “PIN ändern” kann die PINfür eine Smartcard oder ein Soft-Zertifikat geän-dert werden, wenn vorher die richtige PIN eingege-ben wurde. Ohne die vorherige Eingabe einer gülti-gen PIN wird dieser Menüpunkt nicht aktiviert.

Aus Sicherheitsgrunden (um die PIN-Änderung nurfür den authorisierten Benutzer zuzulassen), mussnach Öffnen dieses Dialogs die noch gültige PINein zweites Mal eingegeben werden. Die Ziffernder PIN werden in diesem und den nächsten Einga-befeldern als Sterne “*” dargestellt.

Anschließend geben Sie Ihre neue PIN ein und be-stätigen diese durch Wiederholung im letzten Ein-gabefeld. Mit Klick auf “OK” haben Sie Ihre PINgeändert. Die einzuhaltenden PIN-Richtlinien wer-den unter den Eingabefeldern eingeblendet. (Sieheauch oben PIN-Richtlinien).

Die Richtlinien können für ein Entrust-Profil vomAnwender nicht vorgegeben werden.

Einzuhaltende PIN-Richtlinien werden unter denEingabefeldern eingeblendet und mit einem rotenKreuz markiert (Abb. oben). Während der Eingabeeiner neuen PIN wird vor die jeweils erfülltenRichtlinien das rote Kreuz durch einen grünen Ha-ken ausgetauscht.



Soll ein PC-Sharing für mehrere Benutzer, die je-weils ein eigenes Zertifikat einsetzen, eingerichtetwerden, so kann dazu eine Konfiguration vorge-nommen werden.

Unter “Benutzer-Zertifikat” muss der Menüpunkt“Softzertifikatsauswahl aktivieren” eingeschaltetwerden und ein “Zertifikatspfad” angegeben wer-den. Dieser Pfad kann über den Auswahl-Buttongewählt werden, wenn er vorher angelegt wurde (z.B. INSTALLDIR\usercert). Unter diesem Pfadmüssen anschließend die verschiedenen Benutzer-Zertifikate abgelegt werden.

Werden diese Einstellungen mit “OK” gespeichert,so erscheint unter dem grafischen Feld des Moni-tors die Zertifikatsleiste mit der Liste aller unterdem Zertifikatspfad gespeicherten Benutzer-Zerti-fikaten (z. B. Client1 bis Client4).

Hat der Benutzer sein Soft-Zertifikat ausgewählt(z. B. Client2) und stellt eine Verbindung zum zen-tralen VPN Gateway her, so muss er zunächst seinePIN eingeben. Danach wird die Verbindung zumZielsystem aufgebaut (Abb. oben).

Verlässt der Benutzer den Arbeitsplatz, so sollte erden Button mit “Abmelden” betätigen (Abb. oben).Dadurch wird die Verbindung vollständig abgebautund die PIN zurück gesetzt. (Letzteres geschiehtauch, wenn bei einer bestehenden Verbindung einanderes Zertifikat ausgewählt wird). Findet keineAbmeldung statt, können nicht berechtigte Benut-zer über die bestehende Verbindung Zugang zumVPN Gateway erhalten!

Ein nachfolgender Benutzer geht genauso vor. Zu-nächst wählt er sein Zertifikat aus, klickt anschlie-ßend die Funktion “Verbinden” und gibt seine PINein. Erst dann kann die Verbindung korrekt aufge-baut werden. Wird der Arbeitsplatz verlassen,klickt der Benutzer den Button mit “Abmelden”.

Bei einem Zertifikats-Update ist insbesonderedarauf zu achten, dass die Zertifikate stand-ardmäßig in das Installationsverzeichnis abge-legt werden. Haben Sie in der Zertifikats-Konfi-guration des Clients ein anderes Verzeichnis de-finiert, so müssen die Benutzer-Zertifikate erstdorthin kopiert werden.

PC-Sharing (Nutzung mehrerer Soft-Zertifikate an einem PC)



am fec secure ipsec client - bintec-elmeg.com · dieses dokument bechreibt wie aussteller- und...

Documents