Cryptography Reference
In-Depth Information
28.1.1
Schritt 1: Registrierung
Bevor Alice von einer CA ein Zertifikat erhält, muss die CA sie erst einmal ken-
nen. Alice muss sich also bei der CA registrieren lassen. Dazu gibt es verschiedene
Varianten.
Die persönliche Variante
Wenn Alice ihr Zertifikat bei einem öffentlichen Trust Center beantragt, dann
gibt sie ihre Personalien in der Regel selbst an. Dies kann persönlich, per Post
oder online erfolgen. Je nach Sicherheitsanforderungen kann der CA-Betreiber
dazu Alices Ausweis oder eine Kopie davon zur Authentifizierung verlangen. Für
weniger sicherheitskritische Fälle genügt es oft auch, wenn Alice belegt, dass sie
in Besitz der E-Mail-Adresse ist, die im Zertifikat erwähnt wird.
Die Identity-Management-Variante
Bekommt Alice ihr Zertifikat von der CA ihres Arbeitgebers Krypt & Co., dann
sind ihre Personalien in der Regel bereits in einer Datenbank der Personalabtei-
lung gespeichert. Krypt & Co. muss also die vorhandenen Mitarbeiterdaten an
die CA übermitteln. Wie man sich leicht klar macht, gibt es eine solche Aufgaben-
stellungen auch bei anderen Computersystemen: Zum Anlegen eines E-Mail-
Accounts, einer Telefonnummer oder eines Intranetzugangs wird das Unterneh-
men ebenfalls die bereits vorhandenen Daten nutzen. Diese Überlegungen
machen deutlich, warum viele Unternehmen das Thema PKI-Enrollment längst in
einem größeren Zusammenhang sehen. Das Schlagwort in diesem Zusammen-
hang heißt
Identity Management
. Ziel des Identity Management ist es, Daten und
Berechtigungen von Anwendern plattformübergreifend zu verwalten. Im Idealfall
sieht das so aus:
■
Wenn Alice von der Firma Krypt & Co. eingestellt wird, dann muss der dor-
tige IT-Administrator ihre Daten nur einmal eingeben, und zwar in das Iden-
tity-Management-System. Dieses sorgt anschließend über entsprechende
Schnittstellen zu anderen IT-Systemen dafür, dass Alice eine E-Mail-Adresse,
eine Telefonnummer und einen Intranetzugang (und eventuell noch mehr)
erhält. Im gleichen Zug wird sie auch automatisch bei der CA registriert.
■
Wenn sich Alices Nachname oder ihre Position im Unternehmen ändert, dann
vermerkt der IT-Administrator diese Änderung im Identity-Management-Sys-
tem. Dieses sorgt anschließend - wiederum über die entsprechenden Schnitt-
stellen - dafür, dass sich (falls notwendig) auch Alices E-Mail-Adresse, ihre
Telefonnummer und ihr Intranetzugang ändern. Innerhalb desselben Prozes-
ses wird gegebenenfalls auch die CA darüber informiert, dass Alice ein neues
Zertifikat benötigt.
