SSL-Zertifikate und Zertifikatketten

In diesem Kapitel werden SSL-Zertifikate sowie vollständige Zertifikatketten erklärt. Desweiteren erfahren Sie, weshalb sie für WebSphere MQ Zertifikatsspeicher erforderlich sind.

Persönliche Zertifikate (an eine Einzelperson oder eine Firma ausgestellte Zertifikate) können von Warteschlangenmanagern und MQ Clients verwendet werden, um sich eindeutig zu identifizieren, wenn sie am Start eines SSL-Verbindungsaufbaus beteiligt sind.

Ausstellerzertifikate werden von Warteschlangenmanagern und WebSphere MQ Clients verwendet, um die Authentizität aller persönlichen Zertifikate zu prüfen, die sie während eines SSL-Handshakes empfangen (Ausstellerzertifikate werden in anderen Dokumentationen zu WebSphere MQ auch als CA-Zertifikate (Zertifikate von Prüfstellen) oder Unterzeichnerzertifikate bezeichnet).

Jedes persönliche Zertifikat besitzt eine Zertifikatkette mit Ausstellerzertifikaten, die bis zur Stammprüfstelle zurückreicht.

Beispiel:

Zertifikat R (Stammprüfstelle)
    |
    | steht für Aussteller von
    V
Zertifikat I1 (temporäre Prüfstelle)
    |
    | steht für Aussteller von
    V
Zertifikat I2 (Tochtergesellschaft der temporären Prüfstelle)
    |
    | steht für Aussteller von
    V
Zertifikat I3 (weitere Tochtergesellschaft der temporären Prüfstelle)
    |
    | steht für Aussteller von
    V
Zertifikat P (persönliches Zertifikat, das zur Identifizierung seines Besitzers
               bei einem SSL-Handshake dient)

Mit Hilfe von Zertifikatketten wird die Authentizität jedes Zertifikats in der Kette überprüft, einschließlich des persönlichen Zertifikats. Jedes Zertifikat in der Kette - angefangen vom persönlichen Zertifikat bis zum Stammzertifikat der Prüfstelle - wird unter Verwendung seines übergeordneten Zertifikats validiert, welches wiederum unter Verwendung des nächsten Zertifikats in der Kette validiert wird usw.

Das Global Security Toolkit (das im Lieferumfang von WebSphere MQ Version 6.0 enthalten ist) unterstützt eine gute Zertifikatsverwaltung, indem die Authentizität jedes von ihm verwalteten persönlichen Zertifikats automatisch geprüft wird. Daher muss mit jedem persönlichen Zertifikat ein vollständiger Satz (oder eine vollständige Kette) an Ausstellerzertifikaten gespeichert werden.

WebSphere MQ Version 5.3 unter Windows ermöglicht, dass persönliche Zertifikate ohne vollständige Zertifikatkette in Zertifikatsspeichern gespeichert werden. Wenn Sie solche Zertifikate auf eine Global Security Toolkit-Schlüsseldatenbank migrieren würden, würde die Migration fehlschlagen, und die SSL-Kanalverbindungen würden nicht mehr funktionieren.