PKI für das E-Directory

Die Begriffe CA (Certificate Authority), PKI (Public Key Infrastructure) und Zertifikatsdienste werden oft weitgehend synonym verwendet. Tatsächlich gibt es aber erhebliche Unterschiede. Eine CA ist eine Instanz, die digitale Zertifikate ausstellen kann. Dazu werden Zertifikatsdienste verwendet. Solche Zertifikatsdienste gibt es von Dienstleistern wie Verisign, von spezialisierten Anbietern wie Entrust oder als Teil von Systemumgebungen wie beim Active Directory und beim Novell eDirectory. Die PKI wiederum bezeichnet die gesamte Infrastruktur, mit der digitale Zertifikate erstellt, verwaltet und verteilt werden. Eine CA ist Teil einer solchen Infrastruktur, reicht aber nicht aus.

cv act PKIntegrated – mehr PKI für das eDirectory

PKIs müssen wesentlich mehr leisten als nur die Ausstellung von Zertifikaten. Zu den Aufgaben gehören die Verteilung von Zertifikaten, die Verwendung von Smartcards, die Nutzung unterschiedlicher Zertifikatsabfragen, eine breite Standardunterstützung und eine generell effiziente Handhabung der
Technologie.
Cryptovision hat vor rund drei Jahren damit begonnen, eine spezialisierte Lösung für das Novell eDirectory zu entwickeln. Das eDirectory wird in sehr vielen Unternehmen für die Speicherung von Identitätsinformationen eingesetzt, dabei auch von sehr grossen Anwendern mit mehreren Hunderttausend Benutzern. Zwar liefert Novell mit dem eDirectory eigene Zertifikatsdienste aus. Diese sind aber auch heute nur eine Basislösung, bei der viele wichtige Funktionen von der breiten Unterstützung verschiedener Verschlüsselungsverfahren und Schlüssellängen über eine flexible Nutzung von Zertifikatsformaten bis hin zur Unterstützung von Standards wie OCSP (Online Certificate Status Protocol) fehlen.
Cryptovision hat sich daher dafür entschieden, die eigene CA zu verwenden und eine sehr umfassende PKI-Lösung für das eDirectory zu realisieren, um die Lücken zu schliessen, die Novell mit den eigenen Certificate Services hinterlässt.

Enge Integration mit dem eDirectory

PKIntegrated ist eine Lösung, die um das Novell eDirectory herum aufgebaut ist. Die CA selbst wird über den NIM (NSure Identity Manager, früher DirXML) angebunden. Dieser kann auch für die Integration weiterer Systeme eingesetzt werden. Die Administration erfolgt über den Novell iManager, die Standardschnittstelle für die Verwaltung des eDirectory. Dort sind alle Funktionen integriert, was die Nutzung des Produkts sehr einfach macht.
Erweiterte Dienste wie OCSP und SCEP (Simple Certificate Enrollment Protocol) werden über die LDAP-Schnittstelle angeboten. Auch bei der Funktionalität kann PKIntegrated voll überzeugen, weil es einen deutlich grösseren Umfang als die Certificate Services von Novell bietet – bis hin zur Wiederherstellung von Schlüsseln und eine umfassende Protokollierung über Novells NSure Audit.

Wermutstropfen Plattformunterstützung

Ein Wermutstropfen bei der Implementierung von PKIntegrated ist, dass das Produkt zwingend einen Linux-Server erfordert, während das eDirectory auf unterschiedlichen Betriebssystemen von NetWare über Windows und Linux bis hin zu Solaris eingesetzt werden kann. In grösseren Umgebungen sind ohnehin dedizierte Server erforderlich. In kleineren Umgebungen, die
noch überwiegend auf NetWare setzen, stellt das aber eine Einschränkung dar. Dort kann der Linux-Server jedoch gegebenenfalls auch als weiterer eDirectory-Server dienen. Zudem ist diese Einschränkung durch den Trend zu Linux als Basis der klassischen NetWare-Dienste, wie sie der OES (Open Enterprise Server) bietet, nicht mehr so kritisch. Ansonsten kann die Lösung sowohl durch eine breite Funktionalität als auch durch die sehr gute Integration mit dem eDirectory und dem iManager überzeugen.