[ASP] AW: [ASP] AW: [ASP] IIS Zertifikate für SSL

[Elite - Marcus Weidenfeller]

Hi wallus,
<schwitz>danke für die ausführlichen Infos! Muss ich erstmal sacken
lassen</schwitz> :)

Gruß,
Marcus


-----Ursprüngliche Nachricht-----
Von: activeserverpages-admin@glengamoi.com
[mailto:activeserverpages-admin@glengamoi.com]Im Auftrag von
wallus@results-hannover.de
Gesendet: Mittwoch, 9. Februar 2005 16:46
An: activeserverpages@glengamoi.com
Betreff: Re: [ASP] AW: [ASP] IIS Zertifikate für SSL


Sorry,

da habe ich nicht alles gelesen.

Also es ist so, stark vereinfacht:
Es gibt eine CA-Stelle. (Certifikate Authority)
Diese Stelle stellt für web-Server Zertifikate aus. Die entahlten eine
digitale
Signatur von der CA-Stelle.

kommt nun dann ein Browser her und will die Seite sehen, fragt der Browser
seinen User, ob er dem Zertifikat vertrauen will. Oder der User (oder
Microsoft) hat bereits das Zertifikat der CA-Stelle importiert und diese
Abfrage kommt nicht.

Was nun das automatische einloggen anbetrifft, hat das damit erstmal nicht
zu
tun.
Im Windows 2000 ( und höher)-Netzwerk kann man Kerberos verwenden. Aufgrund
der
Zertifikate und SID des Active Directories ( das nur technisch Ähnlichkeit
mit
der CA-Hierarchie oben) kann sich ein Client direkt einloggen. Das heisst
denn
Single Sign On.

Wenn nun ein Bentuzer von aussen kommt, gibt es vermutlich ein Problem:
Der Rechner des Users ist nicht Mitglied der Domain, hat sich also nicht am
Active Directory angemeldet und der User ist keine Active Directory User.
Damit
funktioniert die automatische Anmeldung nicht.

Nun, wenn der user ein login in die Active Directory Domain hat, und der IIS
so
konfiguriert ist, dass er ein Login-Fenster erhält,
dann könnte er sich mit
Domainname\usernamen
und dem Domain-Passwort einloggen ( Domain meint hier das Active Directory,
Microsoft hat einiges an Sprachverwirrung geschaffen).

Wenn der user nicht ein Domain-Login hat, muss man auf dem Webserver IIS
entsprechende User, lokale User anlegen und die Berechtigungen im IIS geben.
Soweit ich weiss geht das auch, ich habe es glaube schon mal gemacht. Man
muss
Richtlinien setzen u.s.w. Dazu musst Du sicherlich in der Knowledgebase
nachlesen.

Die andere Möglichtkeit hat ja schon jemand erwähnt: eine zweiten IIS
aufsetzen
(oder zweite Webserver innerhalb eines IIS) und dort eine andere
Grundeinstellung vornehmen.

Eine weitere Sache ist das, wie es die Banken machen. Es gibt im IE und auch
in
Mozilla u.s.w ein Modul zur Verarbeitung von Zertifikaten. Ein spezielle
CGI-Programm auf dem Server kann das Zertifikat des User, das im Browser
oder
einer Chip-Karte befindet, abfragen. Wobei das Abfragen ganz tricky ist und
hier
den Rahmen bei weitem sprengt. Das ist aber wohl nicht das, was Du willst.
Hier bei geht es um das Unterschreiben (signieren) von Transaktionen. Man
kann
das natürlich auch zum einloggen verwenden. Das bedeutet, dass das
CGI-Script
den user dann am Kerberos-Server (im Active Diretory vorhanden) anmeldet.
Aber
die Probleme oben bleiben dann bestehen.

Unter Unix ist man mit den PAM-Modulen wesentlich flexibler, hier kann man
sich
zur Authentifizierung gleich verschiedener Kerberos-Server oder User-Dateien
odere sonst was ( ich liebe NIS+)  bemächtigen und auch gleich dem Apache
das
via Konfig unterschieben.
Aber nun deswegen gleich Eure Systemlandschaft auf den Kopf stellen? Na ja.

Gruß



_______________________________________________
ActiveServerPages Mailingliste, Postings senden an:
ActiveServerPages@glengamoi.com
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/activeserverpages