LDAP für PKI. von. Marc Saal

Größe: px

Ab Seite anzeigen:

Download "LDAP für PKI. von. Marc Saal"

Herta Adler
vor 8 Jahren
Abrufe

1 LDAP für PKI von

2 Inhalt - Einführung - Die Infrastruktur - Benötigte Objektklassen - Aufbau der Einträge in den Objektklassen - Quiz - Literatur

3 Einführung PKI: System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen Wo werden die Zertifikate erstellt? Wo werden die Zertifikate gewartet? Wo sind die Zertifikatssperrlisten? Wo finde ich die Zertifikate? Ein Lösungsansatz ist die Speicherung der Zertifikate in einem Verzeichnis! => z.b. LDAP

Wo werden die Zertifikate gewartet? Wo sind die Zertifikatssperrlisten?

4 Die Infrastruktur Zertifikat Server und LDAP Server getrennt Zeritfikat Server veröffentlicht Zertifikate und Sperrlisten LDAP Server Client Client

5 Die Infrastruktur Zertifikat Server und LDAP Server zusammen Zeritfikat Server und LDAP Server Client Client

6 Benötigte LDAP Objektklassen - Es werden nur Standard-Objektklassen verwendet (z.b. Person) - diese werden mit Hilfsklassen um die benötigten Attribute erweitert Verwendete Hilfsklassen (RFC 2587) - PKICa - PKIUser - PKIUserData PKIUser Person PKIUserData

7 Benötigte LDAP Objektklassen Hilfsklasse PKICa (Zertifizierungsstelle) Attribute der Hilfsklasse: - certificaterevocationlist: Sperrliste - cacertificate: Zertifikat einer Zertifizierungsstelle - crosscertificatepair: Cross-Zertifikats-Paar

certificaterevocationlist: Sperrliste - cacertificate:

8 Benötigte LDAP Objektklassen Hilfsklasse PKIUser (Endbenutzer) Attribute der Hilfsklasse: - usercertificate: Benutzerzertifikat PKIUser enthält nur ein dem Endbenutzer zugeordnetes Zertifikat!

9 Benötigte LDAP Objektklassen Hilfsklasse PKIUserData (Endbenutzer) Attribute der Hilfsklasse: - countryname: Heimatland des Benutzers - givenname: Vorname des Benutzers - mail: -Adresse des Benutzers - organizationalunitname: Organisationseinheit des Benutzers - postalcode: Postleitzahl des Wohnorts - streetaddress: Straße des Benutzers am Wohnort -

mail: E-Mail-Adresse des Benutzers - organizationalunitname: Organisationseinheit des

10 Aufbau der Einträge in den Obkjektklassen Aufbau der Endbenutzereinträge: - Objektklasse: Person - Benötigte Hilfsklassen: PKIUser und PKIUserData - Attribute CommonName, SurName und UserCertificate sind Pflicht - alle anderen Attribute sind Optional - Anhand des CommonName werden die Zertifikate gesucht! - Aufbau: Nachname, Vorname - Während der Registrierung wird dem CommonName eine Seriennummer zugeteilt um ihn eindeutig zu machen

anderen Attribute sind Optional - Anhand des CommonName werden die Zertifikate gesucht!

11 Aufbau der Einträge in den Objektklassen Beispiel für den Aufbau eines Endbenutzer-Eintrags: c=de DN: cn= SER:4711, ou=fb Inf, o=fh-brs, c=de Attribute: objectclass = PKIUserDate; PKIUser, Person o= FH-BRS commonname: SER:4711 ou= FB Inf cn= SER:4711 Attribute: CommonName = SER:4711 SurName = UserCertificate = binär

Attribute: objectclass = PKIUserDate; PKIUser, Person o= FH-BRS commonname:

12 Aufbau der Einträge in den Objektklassen Aufbau der Einträge der Zertifizierungsstelle: Einträge werden in zwei Bereiche aufgeteilt: 1. Root-Zertifikate, Sperrlisten und CrossZertifikatspaare - gespeichert in Objektklasse Organization mit der Hilfsklasse PKICa 2. CA-Zertifikate der Zertifizierungsstelle - gespeichert in Objektklasse OrganizationUnit mit der Hilfsklasse PKICa

Root-Zertifikate, Sperrlisten und CrossZertifikatspaare - gespeichert in Objektklasse

13 Aufbau der Einträge in den Objektklassen 1. Root-Zertifikate, Sperrlisten und CrossZertifikatspaare DN: o=fh-brs, c=de c=de Attribute: objectclass = PKICa, Orgnization organizationname = FH-BRS cacertificate = binär certificaterevocationlist = binär crosscertificatepair = binär o = FH-BRS Attribute: organizationname = FH-BRS cacertificate = binär certificaterevocationlist = binär crosscertificatepair = binär

= PKICa, Orgnization organizationname = FH-BRS cacertificate = binär certificaterevocationlist = binär

14 Aufbau der Einträge in den Objektklassen 2. CA-Zertifikate der Zertifizierungsstelle DN: ou=fb Inf, o=fh-brs, c=de c=de Attribute: objectclass = PKICa, OrgnizationUnit organizationunitname = FB Inf o=fh-brs cacertificate = binär ou = FB Inf Attribute: organizationunit Name = FB Inf cacertificate = binär

Attribute: objectclass = PKICa, OrgnizationUnit organizationunitname = FB

15 Quiz 1) Welches Attribut wird genutzt um Zertifikate zu suchen? commonname 2) Welche Hilfsklassen werden für einen Endbenutzereintrag benötigt? PKIUser, PKIUserData 3) In welcher Objektklasse werden die root Zertifikate gespeichert? Organization

16 Literatur - Network Working Group: RFC 2587, 1999, - Thorsten Ohrndorf: PKS-Plattform 2002, 2002, - Timothy A. Howes Ph.D., Mark C. Smith, Gordon S. Gooda: Understanding and Deploying LDAP Directory Services, Second Edition, 2003

de/support/dokumentation/pks-ldap-schnittstelle.pdf - Timothy A. Howes Ph.D.

Ähnliche Dokumente

Public Key Service. Schnittstellenbeschreibung LDAP-Service. Version: 2.1 Stand: Status: Freigegeben

Public Key Service. Schnittstellenbeschreibung LDAP-Service. Version: 2.1 Stand: Status: Freigegeben Public Key Service Schnittstellenbeschreibung LDAP-Service Version: 2.1 Stand: 03.08.2015 Status: Freigegeben Impressum Herausgeber T-Systems International GmbH Dateiname Dokumentennummer Dokumentenbezeichnung