Tools zum Sichern von Verbindungen

Bei der Installation des Dr.Web Servers werden folgende Werkzeuge erstellt, die sichere Kommunikation zwischen einzelnen Komponenten des Antivirus-Netzwerks gewährleisten:

1.Privater Schlüssel des Servers drwcsd.pri

Der private Schlüssel ist auf dem Server gespeichert und wird an keine anderen Komponenten des Antivirus-Netzwerks übertragen.

Bei Verlust des privaten Schlüssels müssen Sie die Verbindung zwischen einzelnen Komponenten des Antivirus-Netzwerks manuell wiederherstellen: Sie müssen alle Schlüssel und Zertifikate wieder erstellen und sie auf alle Komponenten des Netzwerks verteilen).

Der private Schlüssel wird in folgenden Fällen verwendet:

a)Generieren von öffentlichen Schlüsseln und Zertifikaten

Der öffentliche Schlüssel und das Zertifikat werden automatisch anhand des privaten Schlüssels bei der Installation des Servers generiert. Sie können hierbei einen neuen privaten Schlüssel erstellen oder den vorhandenen Schlüssel verwenden. Schlüssel und Zertifikate können alternativ jederzeit mithilfe des Tools drwsign generiert werden (weitere Informationen zum Tool finden Sie im Dokument Anhänge unter H9.1. Dienstprogramm zum Generieren digitaler Schlüssel und Zertifikate).

Informationen über öffentliche Schlüssel und Zertifikate finden Sie nachfolgend.

b)Server-Authentifizierung

Der Server wird von Remote-Clients mithilfe einer digitalen Signatur (einmal pro Sitzung) authentifiziert.

Der Server signiert Nachrichten mit dem privaten Schlüssel und sendet die signierten Nachrichten an Clients. Clients überprüfen die Signatur der Nachricht mithilfe des Zertifikats.

c)Datenentschlüsselung

Bei der Verschlüsselung des Datenverkehrs zwischen dem Server und Clients werden die von Clients gesendeten Daten auf der Seite des Servers mithilfe des privaten Schlüssels entschlüsselt.

2.Öffentlicher Schlüssel des Servers drwcsd.pub

Der öffentliche Schlüssel ist für alle Komponenten des Antivirus-Netzwerks verfügbar. Er kann jederzeit aus dem privaten Schlüssel abgeleitet werden (siehe oben). Aus dem gleichen privaten Schlüssel wird jeweils der gleiche öffentliche Schlüssel erzeugt.

Ab Server Version 11 wird der öffentliche Schlüssel für die Herstellung der Verbindung mit Clients früherer Version. Andere Aufgaben, die früher der öffentliche Schlüssel hatte, werden nun mithilfe des Zertifikats bewältigt, das u. a. einen öffentlichen Schlüssel beinhaltet.

3.Server-Zertifikat drwcsd-certificate.pem.

Das Zertifikat ist für alle Komponenten des Antivirus-Netzwerks verfügbar. Es beinhaltet bereits einen öffentlichen Schlüssel und kann jederzeit aus dem privaten Schlüssel abgeleitet werden (siehe oben). Aus dem gleichen privaten Schlüssel wird jeweils ein neues Zertifikat erzeugt.

Die mit dem Server verbundenen Clients werden an ein bestimmtes Zertifikat gebunden, sodass es bei Verlust clientseitig nur wiederhergestellt werden kann, wenn das gleiche Zertifikat von einer anderen Komponente des Netzwerks verwendet wird: In diesem Fall kann das Zertifikat vom Server oder von einem anderen Client kopiert werden.

Das Zertifikat wird in folgenden Fällen verwendet:

a)Server-Authentifizierung

Der Server wird von Remote-Clients mithilfe einer digitalen Signatur (einmal pro Sitzung) authentifiziert.

Der Server signiert Nachrichten mit dem privaten Schlüssel und sendet die signierten Nachrichten an Clients. Clients überprüfen die Signatur der Nachricht mithilfe des Zertifikats (mit dem im Zertifikat enthaltenen öffentlichen Schlüssel). In früheren Versionen wurde zu diesem Zweck der öffentliche Schlüssel selbst verwendet.

Auf dem Client müssen hierzu ein oder mehrere vertrauenswürdige Zertifikate der Server vorhanden sein, mit denen er sich verbinden kann.

b)Datenverschlüsselung

Bei der Verschlüsselung des Datenverkehrs zwischen dem Server und einem Client werden die übertragenen Daten auf der Seite des Clients mithilfe des öffentlichen Schlüssels verschlüsselt.

c)TLS-Sitzungen zwischen dem Server und Remote-Clients

d)Proxyserver-Authentifizierung

Die Proxyserver werden von Remote-Clients mithilfe einer digitalen Signatur (einmal pro Sitzung) authentifiziert.

Der Proxyserver signiert seine Zertifikate mit dem privaten Schlüssel und dem Zertifikat des Dr.Web Servers. Der Client, der das Zertifikat des Servers annimmt, nimmt automatisch alle Zertifikate an, die vom Server signiert sind.

4.Privater Schlüssel des Webservers

Der private Schlüssel ist auf dem Server gespeichert und wird an keine anderen Komponenten des Antivirus-Netzwerks übertragen. Weitere Informationen finden Sie nachfolgend.

5.Webserver-Zertifikat

Das Zertifikat des Webservers ist für alle Komponenten des Antivirus-Netzwerks verfügbar.

Dieses Zertifikat wird zur Implementierung von TLS-Sitzungen zwischen dem Server und Remote-Clients (über HTTPS) verwendet.

Bei der Installation des Servers mithilfe des privaten Schlüssels des Webbrowsers wird automatischen ein selbstsigniertes Zertifikat erzeugt, das Webbrowser nicht akzeptieren, da es nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Damit HTTPS-Verbindungen hergestellt werden können, führen Sie eine der folgenden Aktionen durch:

•Führen Sie das selbstsignierte Zertifikat zur Liste vertrauenswürdiger Zertifikate hinzu oder nehmen Sie in die Ausnahmeliste aller Workstations und Webbrowser, auf denen das Verwaltungscenter geöffnet werden soll.

•Lassen Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausstellen.