Freigeben über

SSL-Zertifikate

  • Artikel

Secure Sockets Layer (SSL), auch als Transport Layer Security (TLS) bezeichnet, ist zu einem Standard für die Sicherung von Internetverbindungen geworden und wird verwendet, um Lauschangriffe im Netzwerk zu verhindern. Das SSL/TLS-Protokoll ermöglicht es einem Client und server, sich gegenseitig zu authentifizieren und Verschlüsselungsalgorithmen auszuhandeln.

SSL verwendet einen Verschlüsselungsschlüssel und einen Verschlüsselungsalgorithmus, um die HTTP-Verbindung zu schützen. Die Verschlüsselungsschlüssel sind in SSL-Zertifikaten enthalten, die sowohl vom Client als auch vom Server verwendet werden. Das Zertifikat ist in der Regel ein X.509-Dokument (RFC 2459). Der Server stellt das SSL-Zertifikat für die Sitzung bereit und sendet das Zertifikat in der Handshakephase an den Client. Der Client sendet sein Zertifikat nur dann an den Server, wenn der Server eine Anforderung für ein Zertifikat an den Client sendet. Daher authentifiziert der Client immer den Server, aber der Server hat die Möglichkeit, den Client zu authentifizieren oder nicht.

Serverzertifikate müssen im lokalen persistenten Speicher der HTTP-Server-API gespeichert werden, damit sie jedes Mal verwendet werden können, wenn eine sichere Verbindung erstellt wird. Jeder Zertifikatspeichereintrag enthält auch die IP-Adresse und den Port des Servers, den Zertifikathash (zum Signieren der Nachrichten) und die Anwendungs-ID. Die Anwendungs-ID wird verwendet, um die Anwendung zu identifizieren, die das Zertifikat besitzt.

Systemadministratoren können SSL-Serverzertifikatinformationen mit den Konfigurations-APIs speichern. Ein Verwaltungstool ruft die HttpSetServiceConfiguration-Funktion auf und gibt den HttpServiceConfigSSLCertInfo-Wert für den Dienstkonfigurationsparameter an, um Informationen für ein SSL-Zertifikat festzulegen. Für jedes IP-Adress- und Portpaar auf dem Computer kann nur ein Serverzertifikat konfiguriert werden. Die HTTP-Server-API stellt auch Abfrage- und Löschfunktionen bereit, um auf vorhandene Zertifikate zuzugreifen oder diese zu löschen.