7/4 Encryptieservices

Transcriptie

1 Security 7/4 Encryptieservices 7/4.1 Novell Certificate Services 7/4.1.1 Inleiding In Open Enterprise Server 2 hebben we veelvuldig te maken met certificaten. Voor veel beheerders is dit een lastig onderwerp. De methoden die beschikbaar waren in Net- Ware, zoals PKIDIAG, bestaan niet meer en dat betekent dat het soms behoorlijk zoeken is. Deze paragraaf schept helderheid en legt uit wat nu precies de rol is van PKI en NICI en hoe we een en ander configureren. 7/4.1.2 Werking van PKI Om het goed te kunnen beheren moet u om te beginnen begrijpen waarvoor Public Key Infrastructure ( PKI ) precies nodig is en hoe het werkt. Als er niets gebeurt, kunnen gegevens die over het netwerk worden verzonden, door derden worden uitgelezen. Zoals u begrijpt, is dit een probleem, zeker als vertrouwelijke gegevens zoals wachtwoorden worden verzonden. Om ervoor te zorgen dat deze niet kunnen worden uitgelezen, is het aan te raden gebruik te maken van encryptie. Om dit te kunnen doen zijn encryptiesleutels nodig en deze worden in een OES 2-omgeving verschaft door middel van PKI. PKI wordt gebruikt om ervoor te zorgen dat datatransmissies over netwerken veilig zijn. Hiervoor zijn twee dingen nodig: De ontvanger is er zeker van dat hij met de beoogde afzender te maken heeft: authenticatie. Novell Netwerkoplossingen, aanvulling 29 7/4.1-1

2 Encryptieservices De gegevens worden versleuteld zodat ze alleen door de beoogde ontvanger kunnen worden gelezen: encryptie. Om te kunnen voorzien in deze twee vereisten wordt gebruikgemaakt van een publieke sleutel (public key) en een privésleutel (private key). De publieke sleutel is beschikbaar voor iedereen, de privésleutel is in het bezit van de instantie die haar identiteit wil beschermen. De betreffende instantie kan een server zijn, maar ook een persoon, een bank of een winkel op internet. Overal waar authenticatie en encryptie nodig zijn, kan gebruik worden gemaakt van public/private keys. In een public/private-key-paar heeft elke sleutel zijn eigen heel specifieke functie: Private key: ontcijferen van gegevens die door de afzender versleuteld zijn met de public key die bij deze private key hoort; aanmaken van een digitale handtekening (signature) waarmee de authenticatie geregeld kan worden. Public key: versleutelen van gegevens en die vervolgens versturen naar de eigenaar van de bijbehorende private key; valideren van de identiteit van pakketjes die versleuteld zijn met de bijbehorende private key. Authenticatie Naast encryptie is authenticatie een belangrijk aspect van public/private-key-encryptie. Niet alleen bij communicatie binnen een netwerk, maar zeker ook als u zakendoet met een winkel op internet, wordt gebruikgemaakt van authenticatie. De volgende stappen vatten samen wat er tijdens de authenticatie gebeurt als u vanaf uw werkstation contact maakt met een internetwinkel. 7/4.1-2 Novell Netwerkoplossingen, aanvulling 29

3 Security (Gebruiker) De gebruiker initieert de transactie door gebruik te maken van de webapplicatie van de internetwinkel. (Gebruiker) De gebruiker gebruikt zijn private key om een digitale handtekening aan te maken. Deze wordt voorzien van de public key van de gebruiker (die tot op dit moment bij de winkel nog niet bekend is). De gebruiker maakt vervolgens gebruik van de public key van de winkel om het geheel te verzenden en naar de winkel te versturen. (Winkel) Omdat de winkel als bezitter van de private key de enige is die het pakketje kan lezen dat de gebruiker in stap 2 verstuurd heeft, is de communicatie veilig. De winkel pakt dit pakketje nu uit. De winkel gebruikt de public key van de gebruiker om de authenticiteit van de gebruiker vast te stellen. Als dit goed gaat, is de gebruiker bij dezen geauthenticeerd. Certificate Authority (CA) Een van de hoofdfactoren in dit proces is vertrouwen. Hoe weet de gebruiker dat hij inderdaad met de betreffende winkel zakendoet en niet met iemand die zich als dusdanig voordoet? In de vertrouwde omgeving van een bedrijfsnetwerk is dit vertrouwen nog wel te regelen, maar als u zakendoet op internet, is dit een andere zaak. Om het vertrouwen te kunnen garanderen is een derde partij nodig die waarborgt dat de winkel ook echt die winkel is. Deze derde partij staat bekend als de Certificate Authority ( CA ). Om ervoor te zorgen dat hij vertrouwd wordt, moet de eigenaar van de winkel ervoor zorgen dat zijn public key gegarandeerd wordt door de Certificate Authority. Ditzelfde geldt als u wilt dat uw gebruikers er zeker van kunnen zijn dat ze inloggen op uw server en niet de server van een hacker die zo de wachtwoorden van gebruikers wil ontfutselen. De CA doet zijn werk door public-keycertificaten uit te geven. De CA doet dit door de public key van de webwinkel Novell Netwerkoplossingen, aanvulling 29 7/4.1-3

4 Encryptieservices te voorzien van zijn eigen signature. Deze signature wordt gemaakt met de private key van de CA. De essentie van de werking van een CA is dat de public keys van de CA overal bekend zijn en dat de gebruiker weet dat deze public keys te vertrouwen zijn. Dit kan zijn doordat de beheerder ze op de werkstations van gebruikers installeert, maar ook omdat de public keys bij veelgebruikte toepassingen meegeleverd worden. Denk bij dit laatste bijvoorbeeld aan browsers. Op deze wijze kan de gebruiker ervan uitgaan dat hij ook daadwerkelijk met een vertrouwde partij te maken heeft. Nu zou u zich kunnen afvragen wie nu garandeert dat de public key van een CA te vertrouwen is. Dit kan geregeld worden door deze public key op zijn beurt weer in een certificaat te stoppen en dat te laten ondertekenen door een andere CA. Zo ontstaat een certificate chain. Boven in de keten bevindt zich de trusted root. Dit is een algemeen erkende CA die bij heel veel toepassingen bekend is. Certificaten die te herleiden zijn tot een trusted root, zijn bruikbaar op internet omdat ze door iedereen vertrouwd worden. Dergelijke certificaten kosten echter veel geld en zijn in de vertrouwde omgeving van een bedrijfsnetwerk niet nodig. Wilt u gebruikmaken van public/private-keycertificaten zonder daarvoor extra te betalen? Dat kan, door uw eigen CA te installeren. Deze CA geeft een self-signed certificaat uit en is niet te herleiden tot een CA die hoger staat in de hiërarchie. Dit hoeft ook niet, want u kunt als beheerder dit certificaat installeren op de werkstations van uw gebruikers en er zo voor zorgen dat de gebruikers er toch zeker van zijn dat het certificaat te vertrouwen is. Bij een self-signed certificaat is er dus geen verschil tussen de CA en de trusted root, beide zijn gewoon hetzelfde. 7/4.1-4 Novell Netwerkoplossingen, aanvulling 29

5 Security 7/4.1.3 Beheer van Novell Certificate Server Bij de installatie van Open Enterprise Server 2 krijgt u direct al te maken met PKI. Het installatieprogramma vraagt namelijk of u wilt werken met een Linux Certificate Server of met de Novell Certificate Server. Kiest u ervoor te werken met Linux-certificaten, dan werkt u met certificaten die met het commando openssl worden aangemaakt. Deze certificaten zijn niet in edirectory geïntegreerd. Dat is op zich prima, als u goed overweg kunt met Linux-certificaten. In deze paragraaf besteden we daar echter geen aandacht aan en leert u de Novell-certificaatomgeving te beheren. In een Novell-omgeving wordt op verschillende momenten gebruikgemaakt van certificaten: Bij inloggen: tijdens de inlogprocedure wordt met behulp van certificaten een SSL -verbinding geïnitialiseerd. Deze wordt gebruikt om gebruikers- ID en wachtwoorden te versleutelen. Bewijs van authenticiteit: zowel servers als gebruiker kunnen certificaten gebruiken om aan te tonen dat ze bekend zijn en dus zijn te vertrouwen. Encryptie: servers kunnen hun gegevensverkeer versleutelen dankzij encryptie. Denk bijvoorbeeld aan de situatie waar u via een secure LDAP -poort imanager benadert om uw server te beheren. Beveiligen van webservers: u kunt private keys gebruiken om het uw webservers mogelijk te maken met SSL beveiligde sessies te openen. Beheer: bij het werken met zowel Remote Manager als imanager wordt gebruikgemaakt van certificaten. Om in een OES 2-omgeving te werken met certificaten maakt u gebruik van de Novell Certificate Server. Deze server zorgt ervoor dat u binnen uw netwerk een eigen CA kunt maken en zo dus niet langer genoodzaakt bent ge- Novell Netwerkoplossingen, aanvulling 29 7/4.1-5

6 Encryptieservices bruik te maken van de diensten van derden. Met behulp van deze CA kunt u vervolgens uw eigen certificaten aanmaken. Ook kunt u het gebruikers mogelijk maken om zelf gebruikerscertificaten te maken, zodat ze bijvoorbeeld hun eigen berichten kunnen beveiligen. NICI Naast de CA biedt de Novell Certificate Server u de mogelijkheid gebruik te maken van de Novell International Cryptographic Infrastructure ( NICI ). NICI biedt u de algoritmes die nodig zijn om encryptie te gebruiken. Een van de functies van NICI is dat het u toestaat private keys op te slaan in edirectory. Novell of Linux? Juist de mogelijkheid om certificaten op te slaan in edirectory biedt in vergelijking met Linux openssl een groot voordeel. Een private key die op een Linux-server is opgeslagen, is opgeslagen in de vorm van een bestand. Dit betekent dat u in principe alleen maar rootpermissies nodig hebt om de private key te kunnen bemachtigen. Een private key die deel uitmaakt van de Novell-encryptieoplossing, is opgeslagen in edirectory. Hierdoor is het voor onbevoegden vrijwel onmogelijk om deze private key te bemachtigen en zich bijvoorbeeld voor te doen als uw webserver. Dit is dus een groot voordeel van de Novell Certificate Server. Securityobjecten Om de Novell Certificate Server te kunnen beheren moet u als beheerder overweg kunnen met de aanzienlijke hoeveelheid objecten die aangemaakt worden. Hieronder vindt u een puntsgewijze opsomming: Security container. In deze container vindt u een aantal certificaten, zoals de Key Access Partition ( KAP )- subcontainer en de organizational CA. 7/4.1-6 Novell Netwerkoplossingen, aanvulling 29

7 Security KAP -container. In deze subcontainer wordt het W0- leafobject opgeslagen. Dit is de security domain key. Deze key wordt gebruikt om de private key van eindgebruikers te versleutelen in edirectory en behoeft dus de hoogste mate van bescherming. SSL Certificate DNS. Voor elke server wordt standaard een certificaat aangemaakt dat gebaseerd is op de DNS - naam van die server. U vindt de naam van de betreffende server ook terug in de certificaatnaam. SSL Certificate IP. Dit is min of meer gelijk aan het SSL Certificate DNS, met als verschil dat het gebaseerd is op het IP -adres van de server. SAS Service. Dit is de Secure Authentication Service. Zoals de naam al aangeeft, hebt u die nodig om op een veilige manier te kunnen authenticeren. Servercertificaten Bij de installatie van een server wordt automatisch een aantal servercertificaten aangemaakt. Deze certificaten verschijnen in dezelfde container als waar het serverobject zelf terechtkomt. In een servercertificaat wordt de volgende informatie opgeslagen: public key; private key; public-keycertificaat; certificate chain voor de betreffende server. Standaard wordt er één servercertificaat aangemaakt. In principe is dit ook wel genoeg. Als u echter meerdere services wilt aanbieden op uw server, kan het nuttig zijn meerdere servercertificaten te maken, zodat elke toepassing over haar eigen certificaat kan beschikken. Zeker als u bijvoorbeeld een aantal virtuele webservers host, kan dit best handig zijn. Om een servercertificaat te maken maakt u gebruik van imanager. De volgende procedure geeft aan Novell Netwerkoplossingen, aanvulling 29 7/4.1-7

8 Encryptieservices hoe u dit doet. Deze procedure gaat ervan uit dat de CA binnen edirectory bestaat. U kunt ook zelf een CA aanmaken, maar omdat dit standaard tijdens de installatie van edirectory gebeurt, is dit niet echt gebruikelijk. 1. Start imanager en meld u aan als admin. 2. Open Novell Certificate Server > Create Server Certificate. Om een servercertificaat aan te maken gebruikt u imanager. 3. Browse naar de server die van het certificaat gebruik gaat maken. Ook is het handig het certificaat een nickname te geven. Daaraan kunt u het certificaat later eenvoudig herkennen. Als u bijvoorbeeld een certificaat aanmaakt om webservices aan te bieden, zou u de nickname webserver kunnen gebruiken. 7/4.1-8 Novell Netwerkoplossingen, aanvulling 29

9 Security De nickname van het certificaat maakt het mogelijk het certificaat later eenvoudig te herkennen. 4. Geef nu aan hoe u het certificaat wilt aanmaken. U hebt hiervoor een aantal opties: Standard: hiermee maakt u een certificaat aan met de grootst mogelijke sleutelgrootte, om voor een optimale beveiliging te zorgen. Daarnaast wordt het certificaat ondertekend door de organizational CA die in dezelfde tree bestaat. U hoeft geen extra opties in te voeren. Custom: deze optie stelt u in staat alle eigenschappen van het certificaat zelf op te geven. U moet Custom selecteren als u het certificaat door een externe CA wilt laten ondertekenen. Om u te leren wat mogelijk is, maken wij in deze procedure een custom certificaat aan. Import: gebruik deze optie om een certificaat te importeren. Deze optie is nuttig als u bijvoorbeeld een certificaat wilt verplaatsen. U moet het certificaat Novell Netwerkoplossingen, aanvulling 29 7/4.1-9

10 Encryptieservices dan eerst opslaan in een PKCS 12-bestand en kunt vervolgens dat bestand importeren. Geef nu aan welk type certificaat u wilt aanmaken en klik op Next. Als u hebt aangegeven een custom certificaat te willen aanmaken, wordt nu gevraag hoe u het certificaat wilt ondertekenen. U kunt dit regelen met de organizational CA binnen uw eigen organisatie, maar het is ook mogelijk hiervoor een externe CA te gebruiken. Als u het certificaat door een externe partij wilt laten ondertekenen, moet u een custom certificaat aanmaken. 7. Als u een custom certificaat aanmaakt, moet u nu alle eigenschappen van het certificaat opgeven. Een belangrijke eigenschap is de sleutelgrootte: maak deze zo groot mogelijk. Daarbij kunt u aangeven wat voor type key het gaat worden en, daaraan gekoppeld, waarvoor de sleutel gebruikt gaat worden. Standaard worden SSL -keys aangemaakt, waarmee de sleutel kan worden 7/ Novell Netwerkoplossingen, aanvulling 29

11 Security versleuteld en een digitale signature kan worden aangemaakt. Dit betekent dat de sleutel niet voor andere doeleinden kan worden gebruikt. Als dit u niet bevalt, geeft u onder Key usage handmatig aan voor welke doelen de sleutel allemaal gebruikt mag worden. Als u nog specifieker wilt zijn in het bepalen wat er wel en niet mogelijk is met de sleutel, geeft u dit aan onder Extended key usage. Vergeet in dit laatste geval niet ook de optie Set the extended key usage extension to critical aan te vinken; hiermee zorgt u er namelijk voor dat de opties die u geselecteerd hebt, worden afgedwongen en de sleutel ook echt niet voor andere doelen mag worden gebruikt. Bij het aanmaken van een custom key geeft u precies aan waarvoor deze gebruikt mag worden. 8. Geef de sleutel nu een naam en, indien gewenst, koppel hem aan een IP -adres dat er gebruik van mag ma- Novell Netwerkoplossingen, aanvulling 29 7/4.1-11

12 Encryptieservices ken. Daarbij kunt u bepalen welk algoritme gebruikt wordt, wat handig is als u een bepaald algoritme niet vertrouwt. Ook erg nuttig is de validity period, waarmee u bepaalt hoe lang de sleutel mag worden gebruikt. Standaard is dit twee jaar, wat dus ook betekent dat u na twee jaar alle sleutels opnieuw mag aflopen. Tot slot is er de weinig gebruikte optie Custom Extensions. Als u van een leverancier extra vereisen hebt gekregen waaraan uw sleutels moeten voldoen, kunt u deze met behulp van een extension file inlezen. Alle sleutels die u binnen de edirectory-omgeving aanmaakt, zijn standaard twee jaar houdbaar. 7/ Novell Netwerkoplossingen, aanvulling 29

13 Security 9. Geef nu aan naar welke trusted root het certificaat herleid moet worden. In 99 procent van alle gevallen zal dat het certificaat van uw eigen organisatie zijn. Alleen als Novell specifiek heeft aangegeven dat u voor dit doel naar de Novell Trusted Root moet, kiest u deze laatste optie. Het is gebruikelijk het certificaat te koppelen aan uw eigen CA als trusted root. Nu ziet u een overzicht van alle parameters waarmee 10. het certificaat wordt aangemaakt. Tevreden? Klik dan op Finish om het certificaat aan te maken. Novell Netwerkoplossingen, aanvulling 29 7/4.1-13

14 Encryptieservices Tevreden? Klik dan op Finish om het certificaat aan te maken. Nu het certificaat eenmaal is aangemaakt, wordt het gelinkt aan andere securityobjecten in edirectory. Het kan vrij lastig zijn om deze links volledig te doorzien. Om te beginnen heeft het serverobject een koppeling naar het object SAS :Service DN en dit object is op zijn beurt gekoppeld aan uw serverobject. Deze koppelingen maken het mogelijk dat de server gebruikmaakt van zijn security-instellingen en is daarom ook essentieel. Het object SAS : Service servernaam is weer verbonden met alle servercertificaten. Elk servercertificaat is via de property Host Server weer teruggekoppeld aan de server die er gebruik van maakt. Als u problemen hebt met uw certificaten, kan het de moeite lonen deze koppelingen allemaal door te lopen en te controleren. Helaas is niet overal een fraaie snap-in beschikbaar om deze koppelingen te controleren. 7/ Novell Netwerkoplossingen, aanvulling 29

15 Security Bij problemen is het nuttig de kruisverwijzingen op de verschillende securityobjecten na te lopen. Verlopen sleutels Elke sleutel in een PKI -infrastructuur verloopt na een tijdje. Zoals u hebt gezien, gebeurt dit standaard na twee jaar. Als u dat wilt, kunt u de geldigheidsduur van de sleutels aanpassen, tot een maximum van bijna dertig jaar. Het is echter niet verstandig de geldigheidsduur zo hoog te zetten. Juist door een beperkte geldigheid reduceert u de kans op problemen als de key gecompromitteerd raakt. Juist ook om problemen te voorkomen is het goed regelmatig nieuwe sleutels aan te maken. Mocht u ooit een sterk vermoeden hebben dat uw private key gecompromitteerd is, dan is het aan te raden hem te vernietigen. Dit doet u door het servercertificaat uit edi- Novell Netwerkoplossingen, aanvulling 29 7/4.1-15

16 Encryptieservices rectory te verwijderen en vervolgens een nieuw sleutelpaar aan te maken. Hiervoor kunt u de procedure gebruiken die in het bovenstaande beschreven is. 7/4.1.4 Uw eigen CA Bij het installeren van edirectory wordt standaard een organizational CA aangemaakt. Dit is altijd handig, want er zijn maar weinig gevallen waar het echt nodig is sleutels te laten ondertekenen door een externe CA ten behoeve van intern netwerkverkeer. Als u echter uw webserver publiekelijk toegankelijk wilt maken, is dit wel aan te raden. Anonieme internetgebruikers zouden namelijk te maken krijgen met beveiligingswaarschuwingen als u uw certificaten niet laat ondertekenen. Het is geen enkel probleem om naast certificaten die intern ondertekend zijn, andere certificaten door een externe partij te laten garanderen. Zoals u in het voorgaande hebt gezien, geeft u dit op tijdens het aanmaken van een certificaat. Tijdens de installatie van uw eerste server wordt standaard een organizational CA aangemaakt. Mocht het nodig zijn, dan kunt u zelf een nieuwe CA maken. Dit is handig als u per ongeluk de oude CA verwijderd hebt of als u meer controle wilt over wat er precies gebeurt bij het aanmaken van een CA. De volgende procedure beschrijft hoe u eigenschappen van uw CA instelt. 1. Start imanager en log in als admin. 2. Selecteer Novell Certificate Server > Configure Certificate Authority. Hebt u al een CA? Dan krijgt u toegang tot de eigenschappen van deze CA. Selecteer om te beginnen op het tabblad General de eigenschappen waarvan u gebruik wilt maken. 7/ Novell Netwerkoplossingen, aanvulling 29

17 Security Geef aan van welke eigenschappen uw CA gebruik moet maken. 3. Naast het tabblad met eigenschappen ziet u op het tabblad Certificates een overzicht van alle certificaten die door uw organizational CA ondertekend zijn. De taken die u hier aantreft, zijn taken die ook door commerciële CA s worden uitgevoerd. Zo kunt u een certificaat valideren, wat betekent dat u er als CA uw geldigheidsstempel op zet. Ook kunt u hier certificaten terugtrekken met de optie Revoke, wat noodzakelijk is als de veiligheid van een certificaat gecompromitteerd is. Tot slot kunt u certificaten exporteren. Dit is nuttig als u zelf CA bent voor andere partijen; u leest hierover later meer. Novell Netwerkoplossingen, aanvulling 29 7/4.1-17

18 Encryptieservices Op het tabblad Certificates vindt u de certificaten die door uw CA zijn uitgegeven. In uitzonderlijke gevallen kan het nodig zijn uw CA opnieuw aan te maken. Als u bijvoorbeeld een serieus probleem hebt met de oude CA, kan het nuttig zijn dit object compleet te verwijderen en een nieuwe CA aan te maken. Hierna wordt beschreven wat hier voor nodig is. 1. Start imanager en log in als admin. 2. Kies de optie Novell Certificate Server > Configure Certificate Authority. U ziet deze keer geen opties die beschikbaar zijn, maar een interface waarin u een nieuwe CA aanmaakt. 7/ Novell Netwerkoplossingen, aanvulling 29

19 Security Om problemen op te lossen kan het nuttig zijn een nieuwe CA aan te maken. 3. Selecteer nu de server die de organizational CA gaat hosten en geef deze CA een naam. Maak het uzelf niet al te moeilijk en kies er gewoon voor de CA met standaardopties aan te maken. Klik vervolgens op Next. 4. U ziet nu een overzicht van de parameters waarmee de CA aangemaakt wordt. Klik hier op Finish om de CA te creëren. Novell Netwerkoplossingen, aanvulling 29 7/4.1-19

20 Encryptieservices Klik op Finish om de nieuwe CA aan te maken Nu ziet u weer het venster met de eigenschappen van de CA die u zojuist hebt aangemaakt. Activeer hier het tabblad Certificates. U ziet nu alle certificaten die in uw omgeving gevonden zijn, met als status Unvalidated. Selecteer de certificaten en klik op Validate om ze te valideren. Open nu in imanager de optie Novell Certificate Access en kies Server Certificates. U ziet nu een lijst van alle certificaten die in edirectory gevonden zijn. Selecteer ook deze certificaten en valideer ze. 7/ Novell Netwerkoplossingen, aanvulling 29

21 Security Ook vanuit het perspectief van de certificaten zelf moet u voor validatie zorgen. 7. Als u nu op het plusteken voor de certificaten klikt, ziet u dat ze allemaal zijn toegewezen aan de organizational CA die u zojuist hebt aangemaakt. Ook hier kunt u verder klikken om de eigenschappen van de certificaten te bekijken. Novell Netwerkoplossingen, aanvulling 29 7/4.1-21

22 Encryptieservices Nadat u een nieuwe CA gemaakt hebt, moet u ervoor zorgen dat alle certificaten aan de CA gekoppeld zijn. Gebruikerscertificaten Een van de mogelijkheden die de Novell Certificate Server u biedt, is te werken met gebruikerscertificaten. Met een dergelijk certificaat kan de gebruiker zijn mailberichten versleutelen. Daarnaast kunnen deze certificaten ook gebruikt worden voor andere doelen, zoals authenticatie. Uiteindelijk is het de gebruiker zelf die bepaalt wat hij ermee wil doen, de gebruiker heeft namelijk gewoon toegang tot zijn eigen certificaten. Om de privacy van de private keys optimaal te beveiligen is de gebruiker de enige die zijn eigen private key kan exporteren. De volgende procedure legt uit hoe u gebruikerscertificaten kunt aanmaken. 7/ Novell Netwerkoplossingen, aanvulling 29

23 Security Start imanager en log in als admin. Activeer de optie Novell Certificate Server > Create User Certificate. Blader naar het gebruikersobject waarvoor u een certificaat wilt aanmaken en klik op Next. Als beheerder maakt u initiële certificaten voor uw gebruikers aan. 4. Selecteer nu de server waaraan u het certificaat wilt koppelen en geef een nickname aan het gebruikerscertificaat. Vervolgens hebt u net als bij het aanmaken van servercertificaten de keuze uit drie verschillende opties om dit certificaat aan te maken: Standard, Custom of Import. In deze procedure gaan we ervan uit dat u gebruikmaakt van de optie Standard. Novell Netwerkoplossingen, aanvulling 29 7/4.1-23

24 Encryptieservices Er zijn drie verschillende opties om gebruikerscertificaten aan te maken. 5. Er wordt nu een overzicht gegeven van de parameters waarmee het certificaat aangemaakt wordt. Tevreden? Klik dan op Finish om het certificaat weg te schrijven. Tot slot ziet u nog een melding waarin staat dat het certificaat al dan niet succesvol aangemaakt is. Klik vervolgens op Close om deze procedure te sluiten. 7/ Novell Netwerkoplossingen, aanvulling 29

25 Security Als het certificaat met succes is aangemaakt, klikt u op Close om de procedure af te sluiten. Werken met de trusted root container Veel belangrijker dan certificaten voor eindgebruikers is de hele configuratie die hoort bij uw trusted root. Om de trusted-rootomgeving te beheren hebt u te maken met drie verschillende elementen. Als eerste is er de trusted root container. Hierin maakt u het trusted-rootcertificaat aan, dat u vervolgens kunt exporteren. Dit laatste is nodig om het trusted-rootcertificaat bekend te maken op servers waar een Certificate Authority draait die geen directe toegang heeft tot de trusted root. Om te beginnen beschrijft de volgende procedure hoe u een trusted root container aanmaakt. 1. Start imanager en meld u aan als admin. Open vervolgens Novell Certificate Server > Create Trusted Root Container. Novell Netwerkoplossingen, aanvulling 29 7/4.1-25

26 Encryptieservices 2. Omdat de trusted root container goed beschermd moet worden, ligt het voor de hand deze aan te maken in de security container. Blader naar deze container en selecteer hem. 3. Klik op OK om de trusted root container aan te maken. U bent nu klaar om in deze container een trusted-rootcertificaat te maken. Voor een optimale beveiliging maakt u de trusted root container aan in de security container. Nu de trusted root container aangemaakt is, kunt u binnen deze container een trusted root aanmaken. Volg hiervoor de volgende procedure: 1. Selecteer in imanager de optie Novell Certificate Server > Create Trusted Root. 2. Voer nu de volgende gegevens in: Name: de naam die u aan de trusted root wilt geven. 7/ Novell Netwerkoplossingen, aanvulling 29

27 Security Tip Container: de naam van de container waarin u het trusted-rootobject wilt aanmaken. Certificate file: het bestand waarin het certificaat is opgeslagen van de server die u als trusted root wilt laten fungeren. Standaard is dit het bestand /etc/ opt/novell/certs/ SSC ert.der. Hebt u imanager vanaf een werkstation gestart? Gebruik dan scp om het certificaatbestand eerst naar het werkstation te kopiëren. De browser in imanager geeft namelijk alleen toegang tot het bestandssysteem op de computer waar u imanager gestart hebt. Bij het aanmaken van een trusted root moet u verwijzen naar het certificaatbestand van uw server. 3. Klik nu op Finish en vervolgens op Close om de trusted root aan te maken. Novell Netwerkoplossingen, aanvulling 29 7/4.1-27

28 Encryptieservices Tot slot moet u het trusted-rootcertificaat exporteren. Dit dient twee doelen. Als eerste staat het uw gebruikers toe om certificaten die door de trusted root ondertekend zijn, te kunnen accepteren. Daarnaast is het handig om het certificaat in een bestand te hebben zodat het als back-up kan fungeren. Het standaardformaat om certificaten te exporteren is als DER -bestand. De volgende procedure laat zien hoe u een trusted-rootcertificaat exporteert. 1. Selecteer in imanager edirectory Administration > Modify Object. 2. Selecteer nu het servercertificaat dat u eerder hebt aangemaakt. Klik hier op het tabblad Certificates en kies vervolgens Trusted Root Certificate. U ziet nu het venster uit de volgende afbeelding. Via het certificaat dat u eerder hebt aangemaakt, kunt u het trusted-rootcertificaat exporteren. 7/ Novell Netwerkoplossingen, aanvulling 29

29 Security 3. Selecteer nu het certificaat en klik op Export om het te exporteren. Selecteer in de uitschuiflijst het certificaat dat u wilt exporteren en bepaal vervolgens of u al dan niet ook de private key wilt exporteren. Voor een volledige back-up is het zaak dit wel te doen; als u het certificaat wilt exporteren voor eindgebruikers, is het juist absolute noodzaak dit niet te doen. Als u een certificaat wilt exporteren voor eindgebruikers, is het zaak de private key niet mee te nemen Selecteer het formaat waarin u wilt exporteren. Het DER -formaat is een prima keuze. Klik nu op Save the exported certificate om het certificaat op te slaan in een bestand. Novell Netwerkoplossingen, aanvulling 29 7/4.1-29

30 Encryptieservices U slaat het geëxporteerde certificaat uiteindelijk op in een bestand. 6. Klik nu op Close om dit venster af te sluiten. Een trusted-rootcertificaat vernieuwen Zoals elk certificaat verloopt ook het certificaat van de trusted root na een tijdje. Het is dan zaak het te vervangen, anders is namelijk de vertrouwelijkheid van de certificate chain verbroken. De onderstaande procedure geeft aan hoe u hiervoor te werk gaat. 1. Start imanager, log in als admin en kies onder Directory Administration de optie Modify Object. 2. Blader nu naar de trusted root waarvan u het certificaat moet vervangen en klik op OK. 3. Klik op Replace om het certificaat van de trusted root te vervangen. 7/ Novell Netwerkoplossingen, aanvulling 29

31 Security 7/4.1.5 Troubleshooting van de Certificate Server Soms kan het voorkomen dat u problemen ondervindt met de Certificate Server. In het vervolg leest u hoe u vier regelmatig voorkomende problemen oplost: 1. oplossen van problemen als gevolg van meerdere security containers, CA s en gerelateerde objecten; 2. terugzetten of opnieuw aanmaken van de security container; 3. terugzetten of opnieuw aanmaken van de KAP en W0; 4. servercertificaten opnieuw aanmaken. Ad.1 Oplossen van problemen als gevolg van meerdere securityobjecten Een aantal kritische objecten met betrekking tot security mag maar één keer in uw tree voorkomen. Het gaat daarbij om de volgende objecten: security container; organizational CA ; KAP -container; W0-object. Als u een nieuwe Certificate Server op een bepaalde server wilt neerzetten, moet u op die server een replica van de security container neerzetten. Als u dit niet doet, kan het gebeuren dat uw server denkt dat er nog geen security container en aanverwante objecten bestaan, met als gevolg dat deze opnieuw aangemaakt worden. In de meeste gevallen zijn dit problemen die u zonder de hulp van Novell Technical Support niet kunt oplossen. De volgende gevallen kunt u wel zelf oplossen: Als u één security container hebt, met daarin twee or- ganizational CA s en één KAP -container met een W0- object, moet u elk server- en gebruikerscertificaat dat door beide organizational CA s is uitgegeven verwijderen. Vervolgens kunt u de beide organizational CA s zelf Novell Netwerkoplossingen, aanvulling 29 7/4.1-31