Authentifizierung
- Redakteur (Unlicensed)
- Nicolett Linke
Die Nutzung aller beschriebenen Dienste erfordert eine Authentifizierung gegenüber dem empfangenden Register. Um zu vermeiden, dass die Register eine eigene Nutzerverwaltung für den RÜD implementieren müssen und ein Register bei jedem anderen Register eine andere Kombination von Nutzername und Passwort hat, wird als Verfahren Client Zertifikat Authentifizierung eingesetzt.
Erläuterung:
Client Zertifikat Authentifizierung ist ein etabliertes Standardverfahren, dass ohne Nutzername und Passwort arbeitet. Jedes Register erstellt ein Schlüsselpaar mit einem offiziell signierten Client Zertifikat (kostenpflichtig). Jedes Register stellt sein öffentliches Zertifikat allen anderen Registern bereit. Jedes Register registriert die Zertifikate der anderen Register in seinem Dienst. Wenn ein Register A eine Anfrage an den Dienst von Register B stellt, erzeugt A mithilfe seines privaten Schlüssels eine Anmeldeinformation (Signatur). Der Dienst von Register B prüft, ob die Signatur zum hinterlegten Zertifikat von A passt, ob dieses Zertifikat noch gültig ist und nicht zurückgezogen wurde. Ist dies der Fall, kann A den Dienst von B nutzen.
Je nach technischer Implementierung und eingesetztem Server kann das Aktualisieren von Clientzertifikaten administrative Aufwände inklusive Serverneustarts verursachen. Die Erzeugung und regelmäßige Erneuerung der Zertifikate sollte daher unter den Registern koordiniert werden (z.B. einmal im Jahr).