Tools zum Sichern von Verbindungen |
Bei der Installation des Dr.Web Servers werden folgende Werkzeuge erstellt, die sichere Kommunikation zwischen einzelnen Komponenten des Antivirus-Netzwerks gewährleisten: 1.Privater Schlüssel des Dr.Web Servers drwcsd.pri Der private Schlüssel wird auf dem Dr.Web Server gespeichert und an keine anderen Komponenten des Antivirus-Netzwerks übertragen. Bei Verlust des privaten Schlüssels müssen Sie die Verbindung zwischen einzelnen Komponenten des Antivirus-Netzwerks manuell wiederherstellen: Sie müssen alle Schlüssel und Zertifikate wieder erstellen und sie auf alle Komponenten des Netzwerks verteilen. Der private Schlüssel wird in folgenden Fällen verwendet: a)Generieren von öffentlichen Schlüsseln und Zertifikaten Der öffentliche Schlüssel und das Zertifikat werden automatisch bei der Installation des Dr.Web Servers anhand des privaten Schlüssels generiert. Sie können einen neuen privaten Schlüssel erstellen oder den vorhandenen Schlüssel verwenden. Schlüssel und Zertifikate können alternativ jederzeit mithilfe des Tools drwsign generiert werden (weitere Informationen zum Tool finden Sie im Dokument unter H7.1. Dienstprogramm zum Generieren digitaler Schlüssel und Zertifikate). Informationen über öffentliche Schlüssel und Zertifikate finden Sie nachfolgend. b)Authentifizierung des Dr.Web Servers Der Dr.Web Server wird von Remote-Clients mithilfe einer digitalen Signatur (einmal pro Sitzung) authentifiziert. Der Dr.Web Server signiert Nachrichten mit dem privaten Schlüssel und sendet die signierten Nachrichten an Clients. Clients überprüfen die Signatur der Nachricht mithilfe des Zertifikats. c)Datenentschlüsselung Bei der Verschlüsselung des Datenverkehrs zwischen dem Dr.Web Server und Clients werden die von Clients gesendeten Daten mithilfe des privaten Schlüssels auf dem Dr.Web Server entschlüsselt. 2.Öffentlicher Schlüssel des Dr.Web Servers *.pub. Der öffentliche Schlüssel ist für alle Komponenten des Antivirus-Netzwerks verfügbar. Er kann jederzeit aus dem privaten Schlüssel abgeleitet werden (siehe oben). Aus dem gleichen privaten Schlüssel wird jeweils der gleiche öffentliche Schlüssel erzeugt. Ab Version 11 des Dr.Web Servers wird der öffentliche Schlüssel für die Herstellung der Verbindung mit Clients älterer Versionen. Andere Funktionen des öffentlichen Schlüssels werden nun mithilfe des Zertifikats ausgeführt, das u. a. einen öffentlichen Schlüssel beinhaltet. 3.Zertifikat drwcsd-certificate.pem des Dr.Web Servers. Das Zertifikat ist für alle Komponenten des Antivirus-Netzwerks verfügbar. Es beinhaltet bereits einen öffentlichen Schlüssel und kann jederzeit aus dem privaten Schlüssel abgeleitet werden (siehe oben). Aus dem gleichen privaten Schlüssel wird jeweils ein neues Zertifikat erzeugt. Die mit dem Dr.Web Server verbundenen Clients werden an ein bestimmtes Zertifikat gebunden, daher kann es beim Verlust auf dem Client nur dann wiederhergestellt werden, wenn das gleiche Zertifikat von einer anderen Komponente des Netzwerks verwendet wird: In diesem Fall kann das Zertifikat vom Dr.Web Server oder von einem anderen Client kopiert werden. Das Zertifikat wird in folgenden Fällen verwendet: a)Authentifizierung des Dr.Web Servers Der Dr.Web Server wird von Remote-Clients mithilfe einer digitalen Signatur (einmal pro Sitzung) authentifiziert. Der Dr.Web Server signiert Nachrichten mit dem privaten Schlüssel und sendet die signierten Nachrichten an Clients. Clients überprüfen die Signatur der Nachricht mithilfe des Zertifikats (mit dem im Zertifikat enthaltenen öffentlichen Schlüssel). In älteren Versionen wurde der öffentliche Schlüssel selbst zu diesem Zweck verwendet. Auf dem Client müssen dazu ein oder mehrere vertrauenswürdige Zertifikate der Dr.Web Server vorhanden sein, mit denen er sich verbinden kann. b)Datenverschlüsselung Bei der Verschlüsselung des Datenverkehrs zwischen dem Dr.Web Server und einem Client werden die übertragenen Daten auf dem Client mithilfe des öffentlichen Schlüssels verschlüsselt. c)TLS-Sitzungen zwischen dem Dr.Web Server und Remote-Clients d)Proxyserver-Authentifizierung Die Proxyserver werden von Remote-Clients mithilfe einer digitalen Signatur (einmal pro Sitzung) authentifiziert. Der Proxyserver signiert seine Zertifikate mit dem privaten Schlüssel und dem Zertifikat des Dr.Web Servers. Der Client, der das Zertifikat des Servers annimmt, nimmt automatisch alle Zertifikate an, die vom Server signiert sind. 4.Privater Schlüssel des Webservers Der private Schlüssel wird auf dem Dr.Web Server gespeichert und an keine anderen Komponenten des Antivirus-Netzwerks übertragen. Weitere Informationen finden Sie nachfolgend. 5.Webserver-Zertifikat Das Zertifikat des Webservers ist für alle Komponenten des Antivirus-Netzwerks verfügbar. Dieses Zertifikat wird zur Implementierung von TLS-Sitzungen zwischen dem Server und Remote-Clients (über HTTPS) verwendet. Bei der Installation des Dr.Web Servers mithilfe des privaten Schlüssels des Webbrowsers wird automatisch ein selbstsigniertes Zertifikat erzeugt, das Webbrowser nicht akzeptieren, da es nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Damit HTTPS-Verbindungen hergestellt werden können, führen Sie eine der folgenden Aktionen durch: •Führen Sie das selbstsignierte Zertifikat zur Liste vertrauenswürdiger Zertifikate hinzu oder nehmen Sie in die Ausnahmeliste aller Workstations und Webbrowser, auf denen das Verwaltungscenter geöffnet werden soll. •Lassen Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausstellen. |