Cryptography Reference
In-Depth Information
■
Wenn Alice die Firma Krypt & Co. verlässt, dann erfordert dies wiederum
nur eine einzige Aktion des IT-Administrators. Dieser löscht Alice im Identity-
Management-System, woraufhin dieses automatisch eine Löschung der E-Mail-
Adresse, der Telefonnummer und des Intranetzugangs veranlasst. Gleichzeitig
beantragt das Identity-Management-System die Sperrung von Alices Zertifi-
kat bei der CA.
Eine derartige Einbindung der PKI in das Identity Management bringt für ein
Unternehmen enorme Vorteile mit sich. Der Identity-Management-Boom, der seit
einigen Jahren zu verzeichnen ist, hat daher auch dem Thema PKI einen erhebli-
chen Aufschwung beschert. Da ein Identity-Management-System nebenbei auch
für einheitliche Authentifizierungsvorgänge auf unterschiedlichen Plattformen
sorgen kann, ist Identity Management auch eine wesentliche Triebkraft für die
Credential-Synchronisation (siehe Abschnitt 22.1). Identity Management ergänzt
sich zudem ideal mit Single Sign-On: Während Ersteres den Administratoren den
Umgang mit unterschiedlichgen Serversystemen erleichtert, erfüllt Letzteres den
gleichen Zweck für die Anwender.
28.1.2
Schritt 2: Zertifikate-Generierung
Kennt die CA erst einmal Alices Personalien, dann kann sie mit der Generierung
eines Zertifikats beginnen. Die CA kann hierbei unmittelbar nach der Registrie-
rung die Zertifizierung automatisch durchführen oder auf einen entsprechenden
Anstoß des PKI-Administrators warten.
Variante mit RA
Wenn sich Alice an einer RA persönlich registrieren lässt, dann bietet es sich an,
die Zertifikats-Generierung im gleichen Zug vorzunehmen. Auch wenn Alices
Daten der CA schon bekannt sind, kann diese Alice bitten, persönlich an der RA
zu erscheinen, um sich an der Zertifikats-Generierung zu beteiligen. An dieser
Stelle stellt sich die Frage, ob Alice ihr Schlüsselpaar selbst generieren soll oder ob
die RA bzw. die CA dies übernimmt. Wenn Alice der CA misstraut, dann ist eine
selbst durchgeführte Generierung in der Regel die sicherere Methode. Anderer-
seits wird ein Key Recovery später nur dann möglich sein, wenn die RA oder CA
Alices privaten Schlüssel kennt und ihn speichern kann.
Wird das Schlüsselpaar von der RA oder von Alice selbst generiert, dann
muss die RA dieses an die CA schicken. Dazu kann der Registrator einen signier-
ten Zertifizierungsantrag (Certification Request) verwenden. Hat die CA Alices
öffentlichen Schlüssel erhalten (bzw. hat sie ihn selbst generiert), dann stellt sie
einen entsprechenden Datensatz zusammen, den sie durch eine Signatur zu einem
digitalen Zertifikat macht. Dieses digitale Zertifikat stellt die CA im Verzeichnis-
dienst zum Download bereit.
