Übersicht

SSL (Secure Socket Layer) kann zusammen mit FTP verwendet werden, um für zusätzliche Sicherheit bei Standard-FTP-Übertragungen zu sorgen. Dieses Kapitel bietet eine Übersicht über das SSL-Protokoll und beschreibt die Funktionsweise von SSL innerhalb von WS_FTP.

SSL (Secure Socket Layer) ist ein Protokoll zum Verschlüsseln und Entschlüsseln von Daten, die über direkte Internetverbindungen übertragen werden. Wenn ein Client eine SSL-Verbindung mit einem Server aufbaut, werden die an diesen Server gesendeten und die von diesem Server empfangenen Daten mit einem komplexen mathematischen Algorithmus verschlüsselt; ggf. abgefangene Daten können nur schwer entschlüsselt werden.

Im Folgenden wird Schritt für Schritt erklärt, wie SSL funktioniert.

Schritt 1. Der Client stellt eine initiale Verbindung mit dem Server her und fordert eine SSL-Verbindung an. Wenn implizites SSL verwendet wird, ist die initiale Verbindung verschlüsselt. Mit der Einstellung SSL explizit wird die Anmeldung nicht verschlüsselt.

Schritt 2. Wenn der Server ordnungsgemäß konfiguriert wurde, überträgt der Server sein Zertifikat und seinen öffentlichen Schlüssel an den Client.

Schritt 3. Der Client vergleicht das Zertifikat des Servers mit einer Liste der vertrauenswürdigen Server. Wenn das Zertifikat dort vorkommt, vertraut der Client dem Server und geht zu Schritt 4 über. Ist das Zertifikat dort nicht gespeichert, wird Schritt 4 erst dann ausgeführt, wenn der Benutzer das Zertifikat in die Liste der vertrauenswürdigen Server eingegeben hat.

Schritt 4. Der Client verschlüsselt einen Sitzungsschlüssel mit dem erhaltenen öffentlichen Schlüssel und sendet diesen Sitzungsschlüssel an den Server. Wenn der Server in Schritt 2 das Zertifikat des Client angefordert hat, muss der Client das Zertifikat nun seinerseits senden.

Schritt 5. Wenn der Server so eingerichtet wurde, dass Zertifikate empfangen werden können, vergleicht er das empfangene Zertifikat mit den in der Liste der vertrauenswürdigen Server gespeicherten Zertifikaten, um die Verbindung anschließend zu bestätigen oder abzulehnen.

Wird die Verbindung abgelehnt, überträgt der Server eine entsprechende Fehlermeldung an den Client. Nimmt der Server die Verbindung an oder wurde der Server so konfiguriert, dass er keine Zertifikate empfängt, entschlüsselt er den Sitzungsschlüssel des Client mit seinem eigenen privaten Schlüssel und sendet eine Erfolgsmeldung an den Client, um auf diese Weise einen sicheren Datenkanal zu eröffnen.

Die Funktionsweise von SSL ist am besten anhand der Wirkungsweise der in SSL enthaltenen Elemente zu verstehen. Im Folgenden werden diese Elemente und ihre jeweiligen Aufgaben beschrieben.

• Client. In diesem Fall Progress WS_FTP Professional.
• Zertifikat. Die Zertifikatdatei enthält die Anmeldeinformationen des Clients bzw. des Servers. Mit diesen Informationen weisen die beiden Parteien sich beim Aushandeln der Verbindung aus. Gelegentlich muss das Client-Zertifikat durch das Server-Zertifikat unterzeichnet werden, damit eine SSL-Verbindung hergestellt werden kann. Zertifikatdateien tragen die Endung .crt.
• Sitzungsschlüssel. Mit dem Sitzungsschlüssel verschlüsseln Client und Server ihre Daten. Der Sitzungsschlüssel wird vom Client erzeugt.
• Öffentlicher Schlüssel. Mit dem öffentlichen Schlüssel verschlüsselt der Client einen Sitzungsschlüssel. Der öffentliche Schlüssel existiert nicht als Datei, sondern entsteht beim Erstellen eines Zertifikats und eines privaten Schlüssels. Mit einem öffentlichen Schlüssel verschlüsselte Daten können nur mit dem privaten Schlüssel entschlüsselt werden, mit dem dieser öffentliche Schlüssel erzeugt wurde.
• Privater Schlüssel. Der private Schlüssel entschlüsselt den mit einem öffentlichen Schlüssel verschlüsselten Sitzungsschlüssel des Clients. Die private Schlüsseldatei trägt die Erweiterung .key. Private Schlüssel sollten GRUNDSÄTZLICH NIEMANDEM mitgeteilt werden.
• Zertifikats-Signieranforderung. Zertifikats-Signieranforderungen werden beim Erstellen eines Zertifikats generiert. Die betreffenden Dateien werden benötigt, wenn Sie Ihre Zertifikate unterzeichnen müssen. Sobald die Zertifikats-Signieranforderung unterzeichnet wurde, wird ein neues Zertifikat erzeugt und kann dann anstelle des nicht unterzeichneten Zertifikats verwendet werden.