GlobalSign Blog

23 Feb 2016

Was ist Client-Authentifizierung, und warum brauche ich sie?

In einem Unternehmen gibt es oft viele Tools und Accounts, die jeden Tag von Mitarbeitern im Unternehmen genutzt werden, wie z.B. E-Mail-Clients und Cloud-Dienste. Wie verwaltet man alle diese Identitäten und gewährleistet, dass Sie darauf vertrauen können, dass ein Hacker nicht die E-Mail eines Mitarbeiters oder ein Online-Konto abfängt und für bösartige Zwecke nutzt? Digitale IDs und individuelle S/MIME-Zertifikate für jeden Benutzer und Mitarbeiter bieten die Lösung. Mitarbeiter können diese Zertifikate verwenden, um ihre Identität nachzuweisen und Aufgaben auszuführen, wie z.B. Signieren und Verschlüsseln von E-Mails und Einloggen in Accounts.

Was ist Client-Authentifizierung?

Client-Authentifizierung ist der Vorgang, mit dem Benutzer sicheren Zugang zu einem Server oder entfernten Computer durch den Austausch eines digitalen Zertifikats erhalten. Das digitale Zertifikat gilt teilweise als 'digitale ID' und wird dazu verwendet, die Identität eines Kunden, Mitarbeiters oder Partners kryptografisch an ein eindeutiges digitales Zertifikat zu binden (dieses umfasst normalerweise Name, Firmenname und Standort des Inhabers des digitalen Zertifikats). Das digitale Zertifikat kann dann einem Benutzerkonto zugeordnet und für die Zugangskontrolle zu Netzwerkressourcen, Webservices und Websites verwendet werden.

Ebenso wie Unternehmen kontrollieren müssen, welche einzelnen Benutzer Zugang zu Unternehmensnetzwerken und -ressourcen haben, müssen sie auch in der Lage sein, zu erkennen und zu kontrollieren, welche Rechner und Server Zugang haben. Die Implementierung von Geräte-Authentifizierung bedeutet, dass nur Rechner mit den entsprechenden Anmeldeinformationen auf Unternehmensnetzwerke zugreifen, mit ihnen kommunizieren und darin arbeiten können.

Unternehmen können die in Active Directory gespeicherten Registrierungsdaten nutzen, um vorlagenbasierte und optional konfigurierte Zertifikate für alle Rechner und Server auszustellen, die sich in einer einzelnen Domain oder mehreren Domains in einer einzelnen Konfiguration oder einer Konfiguration für mehrere Gesamtstrukturen befinden.

Die für die Client- und Geräte-Authentifizierung verwendeten digitalen Zertifikate sehen vielleicht genauso aus wie jedes andere digitale Zertifikat, das Sie eventuell schon in Ihrem Unternehmen nutzen, wie z.B. Zertifikate zur Sicherung von Webdiensten (SSL) oder E-Mail/Dokumentsignaturen (digitale Signaturen). Aber digitale Zertifikate dürften, je nach Verwendung, ein paar andere Eigenschaften haben.

Client-Authentifizierung kann verwendet werden, um unbefugten Zugang zu verhindern, oder einfach um Ihre aktuelle Kombination aus Benutzername und Passwort durch eine zweite Sicherheitsebene zu ergänzen. Client-Authentifizierung und Zugangskontrolle ermöglicht es Unternehmen regulatorische und Datenschutzvorschriften einzuhalten, sowie internationale Sicherheitsrichtlinien durch die Verwendung PKI-basierter Zweifaktoren-Authentifizierung zu erfüllen - 'etwas das Sie haben' (ein digitales Zertifikat von GlobalSign) und 'etwas das Sie kennen' (ein intern verwaltetes Passwort).

Die Vorteile der Client-Authentifizierung

Client-Authentifizierung hat mehrere Vorteile als Authentifizierungsmethode, vor allem im Vergleich zu der einfachen Methode mit Benutzername und Passwort:

  • Sie können entscheiden, ob ein Benutzer Benutzername und Kennwort eingeben muss
  • Sie verschlüsselt Transaktionen über das Netzwerk, identifiziert den Server und überprüft alle gesendeten Nachrichten
  • Sie überprüft die Identität des Benutzers mithilfe einer vertrauenswürdigen Stelle (die Zertifizierungsstelle) und ermöglicht die zentrale Verwaltung von Zertifikaten, wodurch ein einfacher Widerruf möglich wird
  • Sie ist eindeutig für das Gerät, auf dem sie installiert wurde – sie kann nicht auf andere Geräte übertragen werden
  • Sie beschränkt den Zugang nach Benutzer, Gruppe, Rollen oder Gerät basierend auf Active Directory (mit GlobalSigns Auto Enrollment Gateway (AEG))
  • Sie dient mehr Zwecken als Authentifizierung, wie z.B. Integrität und Vertraulichkeit
  • Sie verhindert bösartige Angriffe/Probleme, wobei sie nicht auf Phishing-, Keylogger- und Man-in-the-Middle (MITM) -Angriffe beschränkt ist

Unterstützung für Client-Authentifizierung

Viele Unternehmensanwendungen und Netzwerke unterstützen systemeigene digitale X.509 Zertifikate, das Standardformat für Zertifikate mit öffentlichem Schlüssel. Das bedeutet: Mit nur ein paar Änderungen der Konfiguration können Sie die zertifikatbasierte Authentifizierung für viele gängige Anwendungsfälle, wie z.B. Windows-Anmeldung, Google Apps, Salesforce, SharePoint, SAP und Zugang zu Remote-Servern über Portale wie Citrix oder SonicWALL aktivieren.
Dies bedeutet:

  • Es ist eine minimale Konfiguration erforderlich, um starke Authentifizierung zu implementieren
  • Einfache Aktivierung von Zwei-Faktor-Authentifizierung für mehrere Anwendungen und Netzwerke
  • Unterstützung von mobilen/entfernten Arbeitskräften

Die folgenden Bilder zeigen ein Beispiel für die Verwendung von X.509 digitalen Zertifikaten als eine Zwei-Faktor-Authentifizierungsmethode. Als Erstes loggt sich der Benutzer mit seinem eigenen Benutzernamen und Passwort ein:

Client authentication screenshot

Auf dem nächsten Bildschirm wird der Benutzer aufgefordert, sich mit seinem digitalen Zertifikat anzumelden.

Client Authentication Screenshot

Der Benutzer kann dann wählen, mit welchem Zertifikat er sich anmeldet:

Client Authentication Screenshot

Wenn das Unternehmen eine zusätzliche Sicherheitsebene einfügen möchte, könnten auch eine Smartcard und eine PIN eingesetzt werden.

Das Problem entsteht, wenn Sie mehrere Zertifikate für neue Mitarbeiter ausstellen müssen und diese schnell installiert werden müssen. In größeren Unternehmen könnten Sie mehrere neue Mitarbeiter gleichzeitig einstellen. Dann müssten die IT-Abteilungen andere Dinge berücksichtigen, die als wichtiger angesehen werden, wie beispielsweise die Gewährleistung, dass der neue Mitarbeiter einen Computer, Schreibtisch oder Konten für alle Tools und Software, die er verwendet, hat.

Daher werden digitale Zertifikate für sichere E-Mail und Authentifizierung, die eigentlich eine hohe Priorität haben sollten, ziemlich oft ans Ende der Liste geschoben. Mit GlobalSigns Auto Enrollment Gateway für die Ausstellung dieser Zertifikate lässt sich viel Zeit und Geld sparen. Dies gewährleistet in vollem Maße, dass das Unternehmen seine Ressourcen und Vermögenswerte von Anfang an schützt.

GlobalSigns Active Directory Integration, das sogenannte Auto Enrollment Gateway (AEG), fungiert als Proxy zwischen der Windows-Umgebung eines Unternehmens und GlobalSigns CA-Services. Das heißt, Sie können alle Funktionen und Vorteile von Active Directory und Windows-Zertifikatdiensten behalten, wie z.B. automatisierte Bereitstellung, Zertifikatvorlagen und Gruppenrichtlinien, ohne Ihre eigene Zertifizierungsstelle (CA) verwalten zu müssen.

Durch die Delegation der Verwaltung einer CA an die Experten wird Ihr internes IT-Team entlastet und kann sich auf seine Kernkompetenzen konzentrieren, während GlobalSign die Sicherheit, Hochverfügbarkeit und CA-Operationen managt, sodass Sie SLAs und Compliance-Audits erfüllen. Sie erhalten auch zusätzliche Funktionen, wie die Möglichkeit öffentlich vertrauenswürdige Zertifikate und Zertifikate für nicht in die Domain eingebundene Objekte bereitzustellen.

Wenn Sie mehr darüber erfahren möchten, wie unser Auto Enrollment Gateway funktioniert und wie dieses Ihnen 50% der Gesamtbetriebskosten einsparen kann, schauen Sie sich unser Webinar an.

Artikel teilen

Jetzt Blog abonnieren