Authentifizierung durch Client-Zertifikat
Hinweis: Als Voraussetzung muss in der Konfigurationsdatei ./etc/hub.xml ein HTTPS Listener definiert sein.
Die Protokolle HTTPS, AS2 über HTTPS und OFTP2.0 über TLS verwenden auf der Transportschicht das SSL- bzw. TLS-Protokoll, um durch Verschlüsselung einen sicheren Kanal aufzubauen. Benutzernamen und Passwörter, die innerhalb dieses Kanals gesendet werden, sind vor einer Kompromittierung wesentlich besser geschützt, als bei einem "Klartext-Kanal" (z. B. HTTP). Es kann aber vorkommen, dass einem Kommunikationspartner diese Sicherheit nicht ausreicht und dass er daher entweder zusätzlich oder anstelle des Passwortes fordert, dass sich der Client mit einem Zertifikat ausweist. Dieses Zertifikat wird Client-Zertifikat genannt, weil es die Identität des Clients beweist, nicht des Servers oder Dienstes. Es ist auf Client-Seite ein eigenes Zertifikat. Das bedeutet, nur der Client kann auf den privaten Schlüssel zugreifen.
Lobster_data unterstützt Client-Zertifikate für HTTPS, AS2 und OFTP, wenn der Kommunikationspartner die Authentifikation mit einem Client-Zertifikat fordert. Es kann auch gefordert werden, dass der Partner sich mit seinem Client-Zertifikat anmeldet. Siehe Abschnitt Eigene Zertifikate.
Ein Sonderfall ist OFTP via TLS. Hier schreibt die Spezifikation eine gegenseitige Identifizierung der Partner über ein Zertifikat vor. Dieses Zertifikat ist auf einer Seite also Server- und Client-Zertifikat gleichzeitig, abhängig von der Richtung des Verbindungsaufbaus. Bei ausgehenden Verbindungen ist es das Client-Zertifikat.
Bei allen ausgehenden Verbindungen der Protokolle AS2 über HTTPS, OFTP über TLS und HTTPS wird als Client-Zertifikat das eigene Zertifikat verwendet, das dem Partnerkanal zugeordnet ist. Damit ist es dasselbe Zertifikat, das auch zur Signierung von Nachrichten/Dateien verwendet wird. Bei AS2 kann für Verschlüsselung und Signierung jeweils ein unterschiedliches eigenes Zertifikat verwendet werden.
Eine Authentifizierung durch Client-Zertifikat ist nur über einen Partner-Kanal möglich und nicht über einen Antwortweg allein.
Siehe auch Abschnitt HTTPS-Client.