Mit dem Tool chgca (change certificate authority) ändern Sie die Eigenschaften einer oder mehrerer Zertifizierungsstellen.
1 Zielgruppe
- Administratoren
- Technische Berater
2 Begriffsbestimmung
Ein Zertifikat ist vergleichbar mit einem Ausweis, wie z. B. einem Reisepass, mit dem sich Personen identifizieren. Mit einem Zertifikat wird die Identität von Benutzern, Diensten und Servern überprüft. Das Zertifikat stellt einen öffentlichen Schlüssel dar, der mit Informationen zu seinem Besitzer verknüpft ist. Diese Zuordnung wird in der Regel von einer Zertifizierungsstelle (Certificate Authority, CA) durch deren digitale Unterschrift beglaubigt.
Unterschieden werden Benutzer- und Server-Zertifikate. Anhand eines Benutzer-Zertifikates kann Semiramis den Benutzer identifizieren, der sich an das Semiramis-System anmelden möchte. Nach der Prüfung der Gültigkeit des Zertifikats, also wenn es sich um ein registriertes und damit vertrauenswürdiges Zertifikat handelt, wird dem Benutzer der Zugang zum System gewährt. Semiramis identifiziert sich gleichermaßen beim Benutzer, der sich anmelden möchte, durch ein Server-Zertifikat. Dadurch kann der Benutzer sicher sein, auch mit dem Server verbunden zu sein, an den er sich anmelden möchte.
3 Beschreibung
Das Tool dient zum Ändern der Eigenschaften einer oder mehrerer Zertifizierungsstellen.
3.1 Befehl
Nachfolgend finden Sie den Befehl inklusive aller möglichen Parameter.
| chgca | -certificateAuthority:<str-1> …
-certificateAuthority:<str-n> [-description:<str>] [-loginMode:<vs>] [-certificate:<text>] [-certificatePassword:<str>] [-removePrivateKey] |
3.2 Parameter
Die Parameter des Befehls werden in der folgenden Tabelle erläutert. Die in eckigen Klammern gesetzten Parameter sind optional, die anderen hingegen sind Pflichtparameter. Für einige Parameter kann ein Stern (*) als Platzhalter angegeben werden, um damit alle möglichen Werte ausgeben zu können. Nicht alle Parameter können mehrfach genannt werden; nur die, die folgenden Zusatz an den Parametervariablen aufweisen, sind für die Mehrfachnennung zugelassen: „<str-1> … <str–n>“.
| Parameter | Erläuterung |
| -certificateAuthority:
<str-1> … -certificateAuthority: <str-n> |
Name der Zertifizierungsstelle. |
| [-description:<str>] | Bezeichnung der Zertifizierungsstelle. |
| [-loginMode:<vs>] | Gibt an, ob sich Benutzer mit einem von der Zertifizierungsstelle ausgestellten Zertifikat an Semiramis anmelden dürfen. Die Möglichen Werte sind:
„Anmeldung erlaubt“ Die Anmeldung ist möglich. „Verbindung ablehnen“ Bereits der Verbindungsaufbau auf Ebene des https-Protokolls wird abgelehnt. „Verbindung erlauben, Anmeldung ablehnen“ Bei dieser Einstellung lässt Semiramis eine Verbindung über https zu, lehnt dann aber die Anmeldung am System ab. In diesem Fall wird der Anmeldungsversuch allerdings protokolliert. Damit lassen sich versuchte Zugriffe, die mit nicht mehr zugelassenen Zertifikate erfolgen, erkennen. |
| [-certificate:<text>] | Zertifikats-Datei für die Zertifizierungsstelle. Geben Sie den vollständigen Pfad der Datei mit dem Schema „file:///“ oder „kstore://“ an. |
| [-certificatePassword:<str>] | Kennwort für das Importieren der Zertifikats-Datei. Die Angabe des Kennwortes ist bei Zertifikats-Dateien in den Formaten „PFX-Datei“ und „JKS-Datei“ erforderlich.. |
| [-removePrivateKey] | Schlüssel der Zertifizierungsstelle entfernen. Ohne den privaten Schlüssel kann mit der Zertifizierungsstelle kein neues Zertifikat mehr unterzeichnet werden. |
3.3 Berechtigungen
Das Berechtigungskonzept sowie die generellen anwendungsbezogenen und Entity-bezogenen Berechtigungen können Sie in der Technischen Dokumentation im Dokument „Berechtigungen“ nachlesen.
Für diese Anwendung ist das folgende Business Entity relevant:
com.cisag.sys.configuration.obj.CertificateAuthority