Wie funktioniert unser Intranetserver?

Beim Zugriff auf diesen Server wird die Identität des Benutzers abgeprüft, umgekehrt überprüft der Webbrowser die Authentizität des Webservers.

Erreicht wird dies durch den Austausch von sogenannten Zertifikaten. Jeder Benutzer muß ein persönliches Zertifikat besitzen, der Server wurde bereits mit einem derartigen Zertifikat ausgestattet. Um die Zertifikate gegenseitig überprüfbar zu machen wurde eine Zertifizierungsstelle (Certification Authority oder einfach CA) eingerichtet, die alle Zertifikate unterschreibt.

Ein Zertifikat ist prinzipiell nichts anderes als ein Ausweis, der von einer vertrauenswürdigen Autorität unterschrieben wurde. Um zu einem Zertifikat zu kommen, erzeugt jeder Benutzer über den Webbrowser einen Antrag auf Ausstellung eines Zertifikats. Dieser Antrag wird von der CA nach der Überprüfung der Identität des Benutzers unterschrieben (= zertifiziert). Die Beantragung eines persönlichen Zertifikats ist über die URL http://www4.informatik.uni-erlangen.de/Services/Sec/ möglich.

Um sich nun von der Authentizität des Webservers überzeugen zu können (die Überprüfung soll ja auch "andersrum" funktionieren), muß der Webbrowser das Zertifikat der Zertifizierungsstelle besitzen. Dieses Zertifikat ist ebenfalls über obige URL erhältlich. Von dessen Richtigkeit wiederum muß sich jeder Benutzer "manuell" überzeugen: der Fingerprint (= die Kurzform) dieses Zertifikat ist beim Sicherheitsbeauftragten erhältlich. In unserem Fall ist Sicherheitsbeauftragter und Zertifizierungsstelle identisch, was in einer sicherheitskritischen Umgebung zu vermeiden wäre.

Technisch gesehen gehört ein Zertifikat immer zu einem privaten/öffentlichen Schlüsselpaar. Genauer: es ist eine Unterschrift auf dem öffentlichen Schlüssel. Der Webbrowser erzeugt dieses Schlüsselpaar beim Antrag auf ein persönliches Zertifikat und speichert sie im .netscape-Ordner ab. Der private Schlüssel sollte hierbei mit einem Paßwort gesichert werden.

Wenn das persönliche Zertifikat ausgestellt und in den Browser geladen wurde, kann der Zugriff auf den Intranetserver über die URL https://www4.informatik.uni-erlangen.de/ erfolgen.

Alle bisher auf unserem "normalen" WWW-Server (unzureichend) über das "immd4" Gruppenlogin abgesicherten Seiten wurden auf den SSL-Server migriert. Natürlich ist der Aufwand zur Absicherung dieser Informationen durch den Einsatz von Verschlüsselungs- und Authentisierungsmechanismen übertrieben. Allerdings kann man auf dem Intranetserver sicherheitskritischere Applikationen, z.B. zum Mailabruf über HTTP (für die Freunde/Hasser von Firewalls interessant) oder zur Bedienung von Softwaresystemen per WWW betreiben.

Die Dokumente des Intranetservers sind im Filesystem unter /proj/i4www/Intra für Benutzer der Gruppe i4staff zugänglich.