Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Kapitel 3. SSL-Infrastruktur

Für Red Hat Network-Kunden sind Sicherheitsfragen von höchster Bedeutung. Eine der Stärken von Red Hat Network ist dessen Fähigkeit, jede einzelne Anfrage über SSL (Secure Sockets Layer) abzuwickeln. Um diesen Sicherheitslevel beizubehalten, müssen Kunden, die Red Hat Network innerhalb der eigenen Infrastruktur installieren, benutzerdefinierte SSL-Schlüssel und Zertifikate generieren.
Die manuelle Erstellung und die manuelle Zuordnung von SSL-Schlüsseln und Zertifikaten kann sehr arbeitsaufwändig sein. RHN Proxy Server sowie auch RHN Satellite Server ermöglichen es Ihnen, Ihre eigenen SSL-Schlüssel und Zertifikate basierend auf Ihrer eigenen, privaten Zertifizierungsstelle (Certificate Authority oder im Folgenden kurz CA genannt) während der Installation zu erstellen. Zusätzlich dazu gibt es zu diesem Zweck das separate Befehlszeilendienstprogramm RHN SSL Maintenance Tool. Unabhängig davon müssen diese Schlüssel und Zertifikate auf allen Systemen in Ihrer Infrastruktur eingesetzt werden. In vielen Fällen ist der Einsatz dieser SSL-Schlüssel und Zertifikate bereits für Sie automatisiert. Dieses Kapitel beschreibt effiziente Verfahren zur Durchführung all dieser Aufgaben.
Bitte beachten Sie, dass in diesem Kapitel das Thema SSL nicht tiefgreifend behandelt wird. Das RHN SSL Maintenance Tool wurde so entwickelt, dass das Aufsetzen und Verwalten dieser Public-Key-Infrastruktur (PKI) weniger komplex erscheint. Für detailliertere Informationen zu diesem Thema empfehlen wir auf einige der vielen, ausgezeichneten Referenzhandbücher, die in einem Buchhandel in Ihrer Nähe erhältlich sind, zurückzugreifen.

3.1. Eine kurze Einführung in SSL

SSL oder Secure Sockets Layer ist ein Protokoll, das es Client-Servern ermöglicht, Informationen sicher weiterzugeben. SSL verwendet dabei ein System von öffentlichen und privaten Schlüsselpaaren, um die Kommunikation zu entschlüsseln, die zwischen den Clients und Servern stattfindet. Auf öffentliche Zertifikate oder sog. Public Certificates kann frei zugegriffen werden, wohingegen private Schlüssel oder Private Keys gesichert aufbewahrt werden müssen. Dieses System basiert auf der mathematischen Beziehung (digitale Signatur) zwischen einem privaten Schlüssel und dem dazugehörigen öffentlichen Zertifikat. Aufgrund dieser Beziehung kann eine vertrauenswürdige Verbindung hergestellt werden.

Anmerkung

Im Rahmen dieses Dokuments werden private SSL-Schlüssel und öffentliche Zertifikate behandelt. Genau genommen können beide als Keys oder Schlüssel bezeichnet werden (öffentliche und private Schlüssel). Üblicherweise wird jedoch im Zusammenhang mit SSL die öffentliche Hälfte eines SSL-Schlüsselpaares (oder Schlüssel-Sets) als öffentliches Zertifikat bezeichnet.
Die SSL-Infrastruktur eines Unternehmens besteht generell aus folgenden SSL-Schlüsseln und Zertifikaten:
  • Privater SSL-Schlüssel und öffentliches Zertifikat Ihrer CA ("Certificate Authority", Zertifizierungsstelle) — üblicherweise wird nur ein Set pro Unternehmen generiert. Das öffentliche Zertifikat wird vom privaten Schlüssel digital signiert. Das öffentliche Zertifikat wird an jedes System verteilt.
  • Web Server privater SSL-Schlüssel und öffentliches Zertifikat — ein Set pro Applikationsserver. Das öffentliche Zertifikat wird sowohl vom eigenen privaten Schlüssel als auch vom privaten SSL-Schlüssel Ihrer CA digital signiert. Wir verweisen des öfteren auf ein Key-Set oder Schlüssel-Set eines Webservers, da eine zwischengeschaltete Anfrage des SSL-Zertifikats generiert wird. Die Verwendung ist in diesem Fall nicht allzu wichtig und wird daher auch nicht weiter im Detail besprochen. Alle drei werden einem RHN Server zugeordnet.
Hier ist ein Beispielszenario: Sie besitzen einen RHN Satellite Server und fünf RHN Proxy Server. Sie generieren daher ein SSL-Schlüsselpaar Ihrer CA und sechs Webserver SSL-Schlüssel-Sets. Das öffentliche SSL-Zertifikat der CA wird auf alle Systeme verteilt und von allen Clients dazu verwendet, eine Verbindung mit den jeweiligen Upstream-Servern aufzubauen. Jeder Server besitzt sein eigenes SSL-Schlüssel-Set, welches speziell an den Hostnamen dieses Servers gebunden ist und unter Verwendung des eigenen privaten SSL-Schlüssels in Verbindung mit dem privaten SSL-Schlüssel der CA generiert wurde. Dadurch entsteht eine auf digitaler Basis verifizierbare Beziehung zwischen dem öffentlichen SSL-Zertifikats des Webservers und dem SSL-Schlüsselpaar Ihrer CA und dem privaten Schlüssel des Servers. Das Schlüssel-Set des Webservers kann nicht mit anderen Webservern gemeinsam verwendet werden.

Wichtig

Das Wichtigste an diesem System ist das SSL-Schlüsselpaar Ihrer CA. Ein Administrator kann anhand des privaten Schlüssels und öffentlichen Zertifikats das SSL-Schlüssel-Set eines jeden Webservers generieren. Dieses CA-SSL-Schlüsselpaar muss sicher aufbewahrt werden. Sobald die gesamte RHN-Infrastruktur von Servern einmal vollständig aufgesetzt ist, wird strengstens empfohlen, dass Sie das SSL-Verzeichnis, das von diesem Tool angelegt wurde, auf einem separaten Medium archivieren. Schreiben Sie ebenso das CA-Passwort auf und bewahren das externe Speichermedium und das Passwort an einem sicheren Ort auf.