{"id":2275,"date":"2015-06-09T09:00:42","date_gmt":"2015-06-09T07:00:42","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2275"},"modified":"2025-12-09T14:48:36","modified_gmt":"2025-12-09T13:48:36","slug":"clientauthentifizierung-doppelter-nutzen-von-e-mail-zertifikaten","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/clientauthentifizierung-doppelter-nutzen-von-e-mail-zertifikaten\/","title":{"rendered":"Clientauthentifizierung: Doppelter Nutzen von E-Mail-Zertifikaten"},"content":{"rendered":"

Ihr E-Mail-Zertifikat<\/a><\/strong> verwenden Sie wie selbstverst\u00e4ndlich zum Signieren und Verschl\u00fcsseln<\/strong> Ihres elektronischen Schriftverkehrs \u2013 sehr gut! Aber wussten Sie, dass Ihr Zertifikat weitaus mehr kann? Sie k\u00f6nnen sich mit Ihrem E-Mail-Zertifikat zum Beispiel am Server authentifizieren<\/strong>: optional als Ersatz f\u00fcr Username und Passwort oder begleitend dazu (Zwei-Faktor-Authentifizierung). Weiter k\u00f6nnen Sie mit Ihrem Clientzertifikat den Zugang zu kritischen R\u00e4umen und Geb\u00e4uden regeln<\/strong>.<\/p>\n

<\/p>\n

E-Mail-Zertifikate zum Signieren und Verschl\u00fcsseln<\/h2>\n

Die E-Mail ist mittlerweile zum Kommunikationskanal Nr. Eins geworden: kein Arbeitstag vergeht, an dem Sie nicht etliche E-Mails erhalten und\/ oder versenden. Jedoch besteht immer die M\u00f6glichkeit, dass E-Mails auf dem Versandweg abgefangen<\/strong> werden: Inhalte werden manipuliert oder aber mitgelesen. In jedem Fall geht die Vertraulichkeit verloren<\/strong>. Nur die konsequente Verschl\u00fcsselung Ihres E-Mail-Verkehrs vermeidet den ungewollten Datenabfluss<\/strong> und sch\u00fctzt Ihre Kommunikation.<\/p>\n

S\/MIME-E-Mail-Zertifikate<\/strong> verwenden einen weltweit etablierten Verschl\u00fcsselungsstandard<\/strong>, der auf einem hybriden Kryptosystem<\/strong> basiert. Um Ihre Urheberschaft nachzuweisen und Manipulationen zu verhindern, signieren Sie Ihre E-Mails mithilfe Ihres Zertifikats. Um den Datenschutz gew\u00e4hrleisten zu k\u00f6nnen und zu vermeiden, dass sensible Informationen an unbefugte Dritte geraten, verschl\u00fcsseln Sie.<\/p>\n

Clientzertifikate als Authentifizierungsmethode<\/h3>\n

Clientzertifikate<\/strong> geben Ihnen eine alternative Authentifizierungsmethode<\/strong> an die Hand. Sie k\u00f6nnen sich wahlweise ausschlie\u00dflich mittels Zertifikat authentifizieren<\/strong> oder aber zus\u00e4tzlich zu Benutzernamen und Passwort<\/strong>. Bei letzterem spricht man von der Zwei-Faktor-Authentifizierung<\/strong>, die ein riesiges Plus an Sicherheit gibt, da Cyberkriminelle\u00a0zwei Schranken zu bew\u00e4ltigen h\u00e4tten.<\/p>\n

M\u00f6chte ein Benutzer auf einen Server\u00a0zugreifen und legt er ein g\u00fcltiges Clientzertifikat vor, findet die Authentifizierung am Webserver mittels SSL-Protokoll<\/strong> statt. Die Informationen, die das Zertifikat des Benutzers enth\u00e4lt, werden bei der Anmeldung an den Server weitergegeben<\/strong>, sodass sich der Benutzer anhand dieser Informationen anmeldet. Greift der User auf unterschiedliche Services innerhalb des Hauptservices zu, werden seine User-Informationen auch an entsprechende Komponentensysteme weitergeleitet<\/strong>; der User wird auch in diesen Systemen angemeldet. Die Authentifizierung des Benutzers selbst findet also innerhalb der zugrundeliegenden Protokolle statt, sodass die Eingabe eine Nutzerkennung und eines Passworts \u00fcberfl\u00fcssig<\/strong> werden, jedoch, wie oben erw\u00e4hnt, zum Erh\u00f6hen der Sicherheit gerne weiterverwendet werden k\u00f6nnen.<\/p>\n

Integration\u00a0von Clientzertifikaten<\/h3>\n

Nutzer erhalten ihre Clientzertifikate als Teil der PKI<\/strong> (Public-Key-Infrastruktur), die ihrerseits die Identit\u00e4t eines Zertifikate-Inhabers verifizieren<\/strong> soll. Um die Authentifizierung mittels Clientzertifikaten einzusetzen, ist Zugang zur PKI<\/strong> vonn\u00f6ten. Wahlweise k\u00f6nnen Sie Ihre eigene PKI einrichten oder diese Aufgabe einem Dienstleister wie uns \u00fcberlassen<\/strong>. Meldet sich nun ein User mittels Clientzertifikat an Ihrem Server an, wird dieser via SSL-Protokoll authentifiziert. Gelingt dies erfolgreich, werden die Informationen, die das Benutzerzertifikat bereith\u00e4lt, an den Server beziehungsweise an die Komponentensysteme weitergeleitet. Dies ist der Grund, warum die Kommunikation zwischen den Browsern und den Webservern eine HTTPS-Verbindung<\/strong> (Hypertext Transfer Protocol via SSL) voraussetzt<\/strong>. Die Authentifizierung findet am Webserver statt<\/strong>, nicht in einzelnen Komponenten. Deshalb ben\u00f6tigen Sie SNC (Secure Network Communications): SNC schafft einen sicheren Kanal zwischen Ihrem Webserver und einzelnen Komponenten<\/strong>. So werden die Benutzerinformationen sowohl vor dem Abh\u00f6ren als auch vor Manipulationen gesch\u00fctzt und die Informationen kommen sicher an ihrem Ziel an.<\/p>\n

Voraussetzungen zur Clientauthentifizierung<\/h3>\n

Erste Voraussetzung ist nat\u00fcrlich ein Clientzertifikat<\/strong>, das der User in seinen Webbrowser importieren<\/strong> muss. Die Server<\/strong>, die die Clientauthentifizierung zulassen sollen, m\u00fcssen entsprechend konfiguriert sein<\/strong>. Hei\u00dft: HTTPS-Verbindungen<\/strong> werden unterst\u00fctzt und die Kommunikation zwischen Browser und Server mittels SSL gesch\u00fctzt<\/strong>. Weiter werden Webserver so konfiguriert, dass all jene CAs (Zertifizierungsstellen) als vertrauensw\u00fcrdig angesehen<\/strong> werden, die Benutzerzertifikate ausgestellt haben. Mittels SNC<\/strong> bauen Sie einen sicheren Kanal zwischen Server und System<\/strong> auf. Zu guter Letzt bilden Sie alle Benutzerinformationen aus dem Zertifikat auf einer g\u00fcltigen Benutzerkennung<\/strong> ab.<\/p>\n

Zugangskontrollen mit Clientzertifikaten<\/h3>\n

Die Clientauthentifizierung<\/strong> l\u00e4sst sich zusammen mit verschiedener Hardware<\/strong> verwenden. So k\u00f6nnen Zertifikate etwa aufs Smartphone<\/strong> geladen werden, um sich so \u00fcber einen Access Point zu authentifizieren<\/strong>. Auch dies l\u00e4sst sich zus\u00e4tzlich mit Userkennung und Passwort<\/strong> kombinieren, um die Sicherheit durch die Zwei-Faktor-Authentifizierung weiter zu erh\u00f6hen. Sehen wir uns die Arbeitsweise am Beispiel eines WLAN-Netzwerks<\/strong> an \u2013 egal, ob physische oder digitale Zugangskontrollen: das grob umrissene Grundkonzept ist immer dasselbe.<\/p>\n