Webserver und SSL\/TLS – Server beweist seine Identit\u00e4t gegen\u00fcber den Clients<\/strong><\/p>\n H\u00e4ufige Verwendung findet TLS auf Webservern, die Clients \u00fcber ein Webserverzertifikat ihren \u00f6ffentlichen Schl\u00fcssel anbieten. Vertraut der Client dem Zertifikat (zus\u00e4tzlich kann er noch eine Sperrlistenpr\u00fcfung durchf\u00fchren – siehe auch Certificate Chaining and Validation<\/a>), so kann er mit dem \u00f6ffentlichen Schl\u00fcssel des Webservers verschl\u00fcsselten Web-Verkehr sicher \u00fcber ein eigentlich unsicheres Netz \u00fcbertragen.<\/p>\n SSL\/TLS und Clientauthentifizierung – der Client beweist seine Identit\u00e4t gegen\u00fcber dem Webserver<\/strong><\/p>\n Standardm\u00e4\u00dfig authentifiziert sich nur der Server gegen\u00fcber dem Client indem er sein Zertifikat pr\u00e4sentiert, der Webserver kann aber zus\u00e4tzlich so konfiguriert werden, dass auch er eine Authentifizierung des Clients \u00fcber ein Clientzertifikat verlangt.<\/p>\n Dabei gibt es im IIS zwei M\u00f6glichkeiten, die beide den potenziellen Anwenderkreis einschr\u00e4nken:<\/p>\n –\u00a0Zertifikat ohne Certificate Mapping<\/em><\/span>:<\/span> Der Client ben\u00f6tigt ein Zertifikat mit Clientauthentifizierungs-EKU um sich zu Authentifizieren. Es wird lediglich die G\u00fcltigkeit des Zertifikats, sowie die Vertrauensw\u00fcrdigkeit des Ausstellers gepr\u00fcft. Ein etwaiges Login Formular muss aber vom Anwender weiterhin manuell mit Benutzername\/Passwort ausgef\u00fcllt werden.<\/p>\n –\u00a0\u00a0Zertifikat mit Certificate Mapping: <\/strong><\/em><\/span><\/span>Im Verzeichnisdienst oder direkt am Webserver wird eine Zuweisung eines (1:1 Mapping<\/em>) oder mehrerer Zertifikate (N:1 Mapping<\/em>) mit einem Benutzerkonto erstellt. Pr\u00e4sentiert der Zugriffsclient dann ein zum Mapping passendes Zertifikat, so wird er automatisch als das entsprechende Benutzerkonto authentifiziert und braucht keine Benutzername\/Passwort Kombination mehr einzugeben. Somit sind Erraten des Passwortes, sowie einfache Social Engineering bzw. Brute Force Angriffe auf das selbige kaum mehr m\u00f6glich. Der Nachteil von TLS liegt darin, dass die \u00a0IP Quell- und Zieladresse der Kommunikationspartner nicht verborgen werden und es daher anf\u00e4llig f\u00fcr Datenverkehrsanalysen ist \u2013 weiterhin ist keine Garantie der Nichtabstreitbarkeit m\u00f6glich.<\/p>\n Vgl. Morimoto, Rand et al.: \u201eWindows Server 2003 unleashed<\/a>\u201c, S. 344-345.<\/p>\n <\/p>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":" TLS (Transport Layer Security) bzw. vormals SSL (Secure Socket Layer) \u00a0Verschl\u00fcsselung ist das am weitesten verbreitete Anwendungsszenario einer PKI. TLS erm\u00f6glicht die Erstellung eines sicheren Kanals zwischen zwei Endpunkten, indem es bestimmten Anwendungsverkehr (HTTPS, SMTPS, FTP over SSL etc.) auf … Weiterlesen ![\"ssl](\"http:\/\/lkl-it.de\/blog\/wp-content\/uploads\/ssltunnelclientwebserver1.jpg\" "\\"ssl_tunnel_client_to_webserver\\"")
<\/a><\/p>\n
\n![\"Exchagne](\"http:\/\/lkl-it.de\/blog\/wp-content\/uploads\/ClientAuthentication-ExchangeActiveSync.jpg\" "\\"ClientAuthentication-ExchangeActiveSync\\"")
<\/a><\/p>\n\n
\n