Lektion 4: Konfigurieren der SSL-Sicherheit 713
gen. Geben Sie an, ob SSL erforderlich ist, um auf den Inhalt zuzugreifen. Optional können
Sie noch festlegen, ob Clientzertifikate ignoriert, akzeptiert oder gefordert werden.
Zertifikatrichtlinien und Zertifikatverwendungserklärungen
Eine Zertifikatrichtlinie ist ein Satz Regeln, den eine Zertifizierungsstelle aufstellt. Sie be-
schreibt, für welchen Zweck das Zertifikat bei einer bestimmten Anwendung benutzt werden
darf. Eine Zertifikatverwendungserklärung (Certificate Practice Statement, CPS) ist eine
detaillierte, von der Zertifizierungsstelle formulierte Erklärung, wie die Zertifikatrichtlinien-
anforderungen implementiert und gepflegt werden. Auf diese Weise können Benutzer ent-
scheiden, wie viel Vertrauen sie den Zertifikaten entgegenbringen, die von einer Zertifizie-
rungsstelle ausgestellt werden.
Eine CPS ist für die Organisationsstruktur, die Betriebsabläufe, die Einrichtungen und die
Computerumgebung der Betriebsautorität maßgeschneidert. Eine CPS nennt die Zertifikat-
richtlinien, denen sie entspricht, und die geschätzte Größe der Benutzergemeinschaft, die sie
bedienen will. Sie gibt an, welchen Standards die internen Schnittstellen genügen, welche
Form die in den Zertifikaten benutzten Namen haben und in welchem Namespace eine Zerti-
fizierungsstelle ihre Zertifikate ausstellt. Sie beschreibt, mit welchen Mechanismen Prinzi-
pale identifiziert werden, etwa Sicherheitsbeauftragte, Sicherheitsadministrator, Verzeichnis-
administrator und Benutzer.
Eine CPS legt außerdem Schlüsselverwaltungsrichtlinien, lokale Sicherheitsverfahren und
Betriebsverfahren fest. Sie gibt explizit an, welche gesetzlichen Vorschriften eine PKI erfül-
len muss und welche Abkommen für gegenseitige Zertifizierungen mit anderen Ausstellern
bestehen. Die CPS umfasst ein Profil der relevanten Zertifikate und Zertifikatsperrlisten
(Certificate Revocation List, CRL), die sie neben dem Verzeichnisschema unterstützt. Und
sie beschreibt die Verfahren für die Entwicklung und Pflege des CPS-Dokuments. Kapitel 7
beschreibt CPSs ausführlicher.
Importieren von Serverzertifikaten
Wenn Sie ein gelöschtes oder beschädigtes Serverzertifikat aus einer Datensicherung wie-
derherstellen oder ein Serverzertifikat installieren wollen, das Ihnen von einem anderen
Benutzer oder einer Zertifizierungsstelle zugeschickt wurde, können Sie dieses Zertifikat
importieren. Öffnen Sie dazu den Internetinformationsdienste-Manager und navigieren Sie
zur gewünschten Ebene. Klicken Sie in der Ansicht Features doppelt auf Serverzertifikate
und dann im Fensterabschnitt Aktionen auf Importieren. Geben Sie im Dialogfeld Zertifikat
importieren einen Dateinamen in das Textfeld Zertifikatdatei ein oder klicken Sie auf die
Durchsuchen-Schaltfläche und wählen Sie die Datei aus, in der das exportierte Zertifikat ge-
speichert ist. Wurde das Zertifikat mit einem Kennwort exportiert, müssen Sie das Kennwort
in das Textfeld Kennwort eintippen. Wenn es möglich sein soll, das Zertifikat wiederum zu
exportieren, müssen Sie das Kontrollkästchen Export dieses Zertifikats zulassen aktivieren.
Soll es nicht möglich sein, das Zertifikat erneut zu exportieren, müssen Sie das Kontroll-
kästchen Export dieses Zertifikats zulassen deaktivieren. Klicken Sie schließlich auf OK.
Exportieren von Serverzertifikaten
Üblicherweise exportieren Sie ein Zertifikat aus einem Quellserver, wenn Sie dasselbe Zer-
tifikat auf einen Zielserver anwenden oder es zusammen mit dem zugehörigen privaten
Schlüssel sichern wollen.