LDAP für PKI von
Inhalt - Einführung - Die Infrastruktur - Benötigte Objektklassen - Aufbau der Einträge in den Objektklassen - Quiz - Literatur
Einführung PKI: System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen Wo werden die Zertifikate erstellt? Wo werden die Zertifikate gewartet? Wo sind die Zertifikatssperrlisten? Wo finde ich die Zertifikate? Ein Lösungsansatz ist die Speicherung der Zertifikate in einem Verzeichnis! => z.b. LDAP
Die Infrastruktur Zertifikat Server und LDAP Server getrennt Zeritfikat Server veröffentlicht Zertifikate und Sperrlisten LDAP Server Client Client
Die Infrastruktur Zertifikat Server und LDAP Server zusammen Zeritfikat Server und LDAP Server Client Client
Benötigte LDAP Objektklassen - Es werden nur Standard-Objektklassen verwendet (z.b. Person) - diese werden mit Hilfsklassen um die benötigten Attribute erweitert Verwendete Hilfsklassen (RFC 2587) - PKICa - PKIUser - PKIUserData PKIUser Person PKIUserData
Benötigte LDAP Objektklassen Hilfsklasse PKICa (Zertifizierungsstelle) Attribute der Hilfsklasse: - certificaterevocationlist: Sperrliste - cacertificate: Zertifikat einer Zertifizierungsstelle - crosscertificatepair: Cross-Zertifikats-Paar
Benötigte LDAP Objektklassen Hilfsklasse PKIUser (Endbenutzer) Attribute der Hilfsklasse: - usercertificate: Benutzerzertifikat PKIUser enthält nur ein dem Endbenutzer zugeordnetes Zertifikat!
Benötigte LDAP Objektklassen Hilfsklasse PKIUserData (Endbenutzer) Attribute der Hilfsklasse: - countryname: Heimatland des Benutzers - givenname: Vorname des Benutzers - mail: E-Mail-Adresse des Benutzers - organizationalunitname: Organisationseinheit des Benutzers - postalcode: Postleitzahl des Wohnorts - streetaddress: Straße des Benutzers am Wohnort -
Aufbau der Einträge in den Obkjektklassen Aufbau der Endbenutzereinträge: - Objektklasse: Person - Benötigte Hilfsklassen: PKIUser und PKIUserData - Attribute CommonName, SurName und UserCertificate sind Pflicht - alle anderen Attribute sind Optional - Anhand des CommonName werden die Zertifikate gesucht! - Aufbau: Nachname, Vorname - Während der Registrierung wird dem CommonName eine Seriennummer zugeteilt um ihn eindeutig zu machen
Aufbau der Einträge in den Objektklassen Beispiel für den Aufbau eines Endbenutzer-Eintrags: c=de DN: cn= SER:4711, ou=fb Inf, o=fh-brs, c=de Attribute: objectclass = PKIUserDate; PKIUser, Person o= FH-BRS commonname: SER:4711 ou= FB Inf cn= SER:4711 Attribute: CommonName = SER:4711 SurName = UserCertificate = binär
Aufbau der Einträge in den Objektklassen Aufbau der Einträge der Zertifizierungsstelle: Einträge werden in zwei Bereiche aufgeteilt: 1. Root-Zertifikate, Sperrlisten und CrossZertifikatspaare - gespeichert in Objektklasse Organization mit der Hilfsklasse PKICa 2. CA-Zertifikate der Zertifizierungsstelle - gespeichert in Objektklasse OrganizationUnit mit der Hilfsklasse PKICa
Aufbau der Einträge in den Objektklassen 1. Root-Zertifikate, Sperrlisten und CrossZertifikatspaare DN: o=fh-brs, c=de c=de Attribute: objectclass = PKICa, Orgnization organizationname = FH-BRS cacertificate = binär certificaterevocationlist = binär crosscertificatepair = binär o = FH-BRS Attribute: organizationname = FH-BRS cacertificate = binär certificaterevocationlist = binär crosscertificatepair = binär
Aufbau der Einträge in den Objektklassen 2. CA-Zertifikate der Zertifizierungsstelle DN: ou=fb Inf, o=fh-brs, c=de c=de Attribute: objectclass = PKICa, OrgnizationUnit organizationunitname = FB Inf o=fh-brs cacertificate = binär ou = FB Inf Attribute: organizationunit Name = FB Inf cacertificate = binär
Quiz 1) Welches Attribut wird genutzt um Zertifikate zu suchen? commonname 2) Welche Hilfsklassen werden für einen Endbenutzereintrag benötigt? PKIUser, PKIUserData 3) In welcher Objektklasse werden die root Zertifikate gespeichert? Organization
Literatur - Network Working Group: RFC 2587, 1999, http://rfc.net/rfc2587.html - Thorsten Ohrndorf: PKS-Plattform 2002, 2002, http://srv15.telesec.de/support/dokumentation/pks-ldap-schnittstelle.pdf - Timothy A. Howes Ph.D., Mark C. Smith, Gordon S. Gooda: Understanding and Deploying LDAP Directory Services, Second Edition, 2003