Beschreibung der SSL (Secure Sockets Layer)-Handshake-Prozedur

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 257591 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
257591 Description of the Secure Sockets Layer (SSL) Handshake
Microsoft empfiehlt allen Benutzern nachdrücklich, auf Microsoft Internet Information Services (IIS) 6.0 unter Microsoft Windows Server 2003 zu aktualisieren. IIS 6.0 erhöht die Sicherheit der Web-Infrastruktur beträchtlich. Weitere Informationen zu sicherheitsrelevanten Themen im Zusammenhang mit IIS finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Zusammenfassung

Das SSL-Protokoll verwendet für die Verschlüsselung eine Kombination aus öffentlichen und symmetrischen Schlüsseln. Im Vergleich zum öffentlichen Schlüssel ist die Verschlüsselung mit symmetrischen Schlüsseln deutlich schneller. Allerdings erlaubt die Verschlüsselung mit öffentlichen Schlüsseln eine bessere Authentifizierung. Eine SSL-Sitzung beginnt immer mit dem Austausch von Meldungen, dem sogenannten SSL-Handshake. Der Handshake emöglicht dem Server, sich unter Verwendung eines öffentlichem Schlüssels gegenüber dem Client zu authentifizieren. Anschließend können Client und Server zusammen symmetrische Schlüssel erstellen, die in der sich anschließenden Sitzung für eine schnelle Verschlüsselung, Entschlüsselung und Manipulationserkennung verwendet werden können. Optional bietet der Handshake dem Client die Möglichkeit, sich dem Server gegenüber zu authentifizieren.

Weitere Informationen

Der SSL-Handshake umfasst folgende Schritte (beachten Sie, dass in den folgenden Schritten die Verwendung der in den Verschlüsselungssammlungen mit RSA Key Exchange aufgeführten Verschlüsselungssammlungen Triple DES, RC4, RC2 und DES vorausgesetzt wird):
  1. Der Client sendet die SSL-Versionsnummer des Clients, die Verschlüsselungseinstellungen, sitzungsspezifische Daten und weitere Informationen an den Server, die dieser benötigt, um unter Verwendung von SSL mit dem Client zu kommunizieren.
  2. Der Server sendet die SSL-Versionsnummer des Servers, die Verschlüsselungseinstellungen, sitzungsspezifische Daten und weitere Informationen an den Client, die dieser benötigt, um über SSL mit dem Server zu kommunizieren. Außerdem versendet der Server sein eigenes Zertifikat. Sollte der Client eine Serverressource anfordern, die eine Clientauthentifizierung benötigt, fordert der Server das Clientzertifikat an.
  3. Der Client verwendet die vom Server versendeten Informationen, um den Server zu authentifizieren (weitere Details finden Sie unter "Serverauthentifizierung"). Falls der Server nicht authentifiziert werden kann, wird der Benutzer auf das Problem hingewiesen und darüber informiert, dass keine verschlüsselte und authentifizierte Verbindung hergestellt werden kann. Wird der Server erfolgreich authentifiziert, fährt der Client mit Schritt 4 fort.
  4. Der Client erstellt (in Zusammenarbeit mit dem Server und abhängig von der verwendeten Verschlüsselung) unter Verwendung der bislang im Handshake erzeugten Daten die Vorstufe des geheimen Hauptschlüssels, verschlüsselt ihn mit dem öffentlichen Schlüssel des Servers (den er über das in Schritt 2 gesendete Serverzertifikat bezieht), und sendet die verschlüsselte Vorstufe des geheimen Hauptschlüssels an den Server.
  5. Wenn der Server eine Clientauthentifizierung angefordert hat (eine Option im Handshake), signiert der Client weitere, im Rahmen des Handshakes eindeutige Daten, die sowohl dem Client als auch dem Server bekannt sind. Der Client sendet in diesem Fall sowohl die signierten Daten als auch das eigenene Zertifikat sowie die verschlüsselte Vorstufe des geheimen Hauptschlüssels an den Server.
  6. Falls der Server eine Clientauthentifizierung angefordert hat, unternimmt der Server den Versuch, den Client zu authentifizieren (weitere Informationen finden Sie unter "Clientauthentifizierung"). Kann der Client nicht authentifiziert werden, wird die Sitzung beendet. Bei einer erfolgreichen Authentifizierung des Clients entschlüsselt der Server mithilfe seines privaten Schlüssels die Vorstufe des geheimen Hauptschlüssels und führt anschließend eine Reihe von Schritten aus (die, ausgehend von derselben Vorstufe des geheimen Hauptschlüssels, auch vom Client ausgeführt werden), um den geheimen Hauptschlüssel zu erzeugen.
  7. Client und Server verwenden den geheimen Hauptschlüssel, um die Sitzungsschlüssel zu erzeugen. Dabei handelt es sich um symmetrische Schlüssel, die zum Verschlüsseln und Entschlüsseln von Informationen verwendet werden, die während der SSL-Sitzung ausgetauscht werden. Außerdem wird mit diesen symmetrischen Schlüsseln die Integrität der SSL-Sitzung überprüft (d. h. es werden mögliche Änderungen an den Daten erkannt, die zwischen Sendung und Empfang über die SSL-Verbindung vorgenommen worden sind).
  8. Der Client sendet eine Meldung an den Server, in der er diesen darüber informiert, dass zukünftige Meldungen vom Client mit dem Sitzungsschlüssel verschlüsselt werden. Danach sendet der Client eine separate (verschlüsselte) Meldung, mit der er angibt, dass die Clientkomponente des Handshakes abgeschlossen wurde.
  9. Der Server sendet eine Meldung an den Client, in der er diesen darüber informiert, dass zukünftige Meldungen vom Server mit dem Sitzungsschlüssel verschlüsselt werden. Danach sendet der Server eine separate (verschlüsselte) Meldung, mit der er angibt, dass die Serverkomponente des Handshakes abgeschlossen wurde.
  10. Der SSL-Handshake ist nun abgeschlossen, und die Sitzung beginnt. Der Client und der Server verwenden die Sitzungsschlüssel zum Verschlüsseln und Entschlüsseln der Daten, die sie einander zusenden, sowie zum Prüfen der Datenintegrität.
  11. Das sind die normalen Betriebsbedingungen beim sicheren Kanal. Der Prozess kann jederzeit wiederholt werden, wenn infolge interner oder externer Beeinflussung (sei es durch Automatisierung oder durch Benutzereingriff) eine der betroffenene Seiten die Verbindung neu definieren möchte.

Informationsquellen

257587 Beschreibung während das SSL-Handshakes des Prozesses der Server-Authentifizierung
Microsoft Internet Information Server 4.0 Resource Kit
Microsoft Windows NT Option Pack-Dokumentation
Microsoft Internet Information Services 5.0 Resource Guide
Microsoft Internet Information Services 5.0-Dokumentation

Eigenschaften

Artikel-ID: 257591 - Geändert am: Donnerstag, 10. Januar 2008 - Version: 3.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Keywords: 
kbinfo KB257591
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com