Schrittweise Anleitung zur Migration

Infineon Security Platform

previous page next page

Infineon Security Platform Lösung

Schrittweise Anleitung zur Migration

Das Verfahren zur Migration der Benutzerinformationen besteht aus zwei Teilen, den administrativen Schritten und den benutzerspezifischen Schritten. Der erste vom Administrator auszuführende Teil umfasst die Autorisierung, die Einrichtung und die Verwaltung des Migrationprozesses. Nach Abschluss der administrativen Schritte müssen die Benutzer ihre Schlüssel und Zertifikate einfach nur aus der Quelle in das Ziel importieren.

Die Migration benutzerspezifischer Schlüssel und Zertifikate wird im Server-Modus vom Trusted Computing Management Server durchgeführt, d.h. Sie müssen die Migrationsschritte nicht ausführen (außer Benutzer-Schritt 3 und 4).

Administrative Schritte

Schritt 1 - Die Zielcomputer-Identität exportieren	Anleitung:
Zur Ausführung der Migration muss zunächst ein Zielcomputer identifiziert werden, auf dem die Migration von Benutzerschlüsseln und Zertifikaten erfolgen soll. Um dies zu ermöglichen, wird vom Systemadministrator des Zielcomputers ein öffentlicher Schlüssel zur Verfügung gestellt (exportiert), der den Zielcomputer identifiziert. Dieser Schlüssel wird anschließend verwendet, um diesem Computer Benutzerschlüssel und Zertifikate zuzuweisen (Hinweis: Wenn der Inhalt durch einen öffentlichen Schlüssel des Zielsystems geschützt ist, kann nur der private Schlüssel des Computers, der vom Trusted Platform Module geschützt wird, auf die migrierten Schlüssel und Zertifikate zugreifen). Dieser Schritt ist notwendig, um eine Vertrauensbasis im Migrationsvorgang zu erstellen - dabei wird sichergestellt, dass nur die gewünschten Zielsysteme auf vertrauliche Benutzerinformationen zugreifen können.	Der Infineon Security Platform Administrator des Zielsystems muss das Computerzertifikat (öffentlicher Schlüssel) in eine Datei exportieren. Gehen Sie wie folgt vor: Wählen Sie im Infineon Security Platform Settings Tool Migration. Wählen Sie Dies ist die Zielplattform und klicken Sie auf Speichern…. Wechseln Sie zu einem Speicherort für die Datei, auf den von beiden Rechnern zugegriffen werden kann. Die Datei wird unter der Standardbezeichnung, wie SpPubKeyArchive.xml gespeichert. Zulässige Speichermedien: Wechseldatenträger oder zugeordnete Netzwerklaufwerke. Notieren Sie sich Speicherort und Dateinamen der exportierten Schlüssel, da sie diese Informationen im nächsten Schritt benötigen.
Schritt 2 - Autorisierung durch den Besitzer des Quellcomputers	Anleitung:
Beim nächsten Schritt im Migrationsprozess muss der Besitzer des Quellcomputers (zu migrierender Computer) die Migration der Benutzerschlüssel und Zertifikate auf einen spezifischen Zielcomputer autorisieren. Hierzu muss der Besitzer auf den öffentlichen Schlüssel des Zielcomputers zugreifen können. Dies ist der zuvor durch einen Administrator des Zielcomputers (siehe Schritt 1 oben) exportierte öffentliche Schlüssel. Durch die Autorisierung des Zielsystems durch einen Besitzer der Infineon Security Platform stellt der Security Software Stack sicher, dass die Benutzerschlüssel und Zertifikate nur dem spezifischen Zielcomputer zugewiesen werden können.	Die Infineon Security Platform Besitzers des Quellcomputers (zu migrierender Computer) muss den Export der Benutzerschlüssel zum Zielcomputer autorisieren. Gehen Sie wie folgt vor: Wählen Sie im Infineon Security Platform Settings Tool Migration. Wählen Sie Dies ist die Ausgangsplattform und klicken Sie auf Autorisieren.... Klicken Sie im Bildschirm Migration autorisieren auf Importieren.... Wechseln Sie zu der Datei mit dem öffentlichen Schlüssel SpPubKeyArchive.xml und klicken Sie auf Öffnen. Geben Sie das Besitzer-Kennwort für den Ausgangsrechners ein und klicken auf OK. Prüfen Sie, ob der Host-Name des Zielrechners zusammen mit der individuellen Plattform-ID aufgelistet ist und klicken dann auf Schließen.
Kombination von Schritt 1 und 2 - Automatischer Export und Autorisierung	Anleitung:
Eine Alternative ist eine Kombination und Ausführung der obigen beiden Schritte als automatischen Export und Autorisierung; hierdurch wird der oben aufgeführte 1. Schritt übersprungen und die Vorgehensweise gleicht sehr dem 2. Schritt. Der Besitzer der Infineon Security Platform des Quellcomputers autorisiert die Migration der Benutzerschlüssel und Zertifikate von einem spezifischen Computer in einen spezifischen Zielcomputer. Der Unterschied besteht darin, dass an Stelle der manuellen Identifikation der Datei mittels der Informationen des Zielcomputers die Zielplattform selbst über den Standard-Netzwerkrechner identifiziert wird. Ist das System einmal identifiziert, baut die Infineon Security Platform eine dynamische Verbindung zum Zielrechner (mit Hilfe von DCOM) auf und fordert Plattformschlüssel und Zertifikate an. Ist das Zielsystem mit der Infineon Security Platform ausgerüstet, werden die Migrationsinformationen automatisch zwischen den beiden Computern übertragen Vorbedingungen: Quellcomputer: Der momentane Benutzer (Infineon Security Platform Besitzer) muss Mitglied der Administrations-Gruppe des Zielcomputers sein. Zielcomputer: Die Infineon Security Platform ist installiert und aktiviert. Zielcomputer: Die Systemrichtlinie Administratoren können den öffentlichen SRK-Schlüssel remote abrufen ist aktiviert. Zielcomputer: Keine Firewall blockiert die ankommende DCOM-Anforderung (wie die in Microsoft Windows XP integrierte Firewall oder jede andere Firewall). Die Konfiguration des Netzwerks erlaubt DCOM-Anforderungen. Sowohl Quell- als auch Zielcomputer müssen Mitglieder von Domänen sein, die sich gegenseitig vertrauen. In Fällen, in denen eine automatische Autorisierung nicht möglich ist, müssen die oben beschriebenen Schritte (1 & 2) manuell ausgeführt werden.	Die Infineon Security Platform Besitzers des Ausgangsrechners (zu migrierender Computer) muss den Export der Benutzerschlüssel und Zertifikate zum gewünschten Zielrechner autorisieren. Gehen Sie wie folgt vor: Wählen Sie im Infineon Security Platform Settings Tool Migration. Wählen Sie Dies ist die Ausgangsplattform und klicken Sie auf Autorisieren.... Klicken Sie im Bildschirm Migration autorisieren auf Suchen.... Das Dialogfenster zum Durchsuchen des Netzwerks wird angezeigt. Suchen und identifizieren Sie den Zielcomputer und wählen Sie OK. Hierdurch wird die automatische Übertragung der Migrationsdaten vom Quell- zum Zielcomputer eingeleitet.

Benutzerschritte

Wenn ein Benutzer Personal Secure Drive auf dem Ausgangscomputer konfiguriert hat, ist es wichtig, dass das Personal Secure Drive gesichert wird und die PSD Sicherungsdatei (Standarddateiname: SpPSDBackup.fsb) des Ausgangscomputers an einem Ort gespeichert wird, auf den beide Computer Zugriff haben. Um eine Kopie des Ausgangs-Personal Secure Drives auf dem Zielcomputer verwenden zu können, muss die PSD Sicherungsdatei des Ausgangscomputers verfügbar gemacht werden.

Schritt 1 – Benutzerschlüssel und Zertifikate aus dem Quellcomputer exportieren	Anleitung:
Nach Abschluss der administrativen Schritte sind die individuellen Benutzer der Infineon Security Platform berechtigt, ihre Schlüssel und Zertifikate sicher zu exportieren (sie sind durch den öffentlichen Schlüssel des Zielsystems geschützt und daher nur auf der Zielplattform lesbar).	Benutzer der Infineon Security Platform exportieren auf Ihren Ausgangsrechnern Ihre Schlüssel und Zertifikate für die Migration. Gehen Sie wie folgt vor: Wählen Sie im Infineon Security Platform Settings Tool Migration. Wählen Sie Dies ist die Ausgangsplattform und klicken Sie auf Exportieren.... Wählen Sie den Zielrechner aus der Liste und klicken Sie auf Weiter. Wechseln Sie zu einem Speicherort für die Datei, auf den von beiden Rechnern zugegriffen werden kann. Die Datei wird mit der Standardbezeichnung unter SpMigrationArchive.xml gespeichert. Klicken Sie auf Weiter. Geben Sie Ihr Basis-Benutzerkennwort für den Ausgangsrechner ein und klicken auf Weiter. Überprüfen Sie die Einstellungen und klicken auf Weiter. Prüfen Sie auf der Fertigstellungs-Seite, dass der Export von Benutzerschlüsseln und Zertifikaten erfolgreich war, und klicken dann auf Beenden. Notieren Sie sich Speicherort und Dateinamen der Archivdatei und der PSD-Sicherungsdatei, da Sie diese Informationen im nächsten Schritt benötigen.
Schritt 2 – Benutzerschlüssel und Zertifikate auf dem Zielcomputer importieren	Anleitung:
Anschließend müssen die Benutzer, wenn sie über ein Benutzerkonto verfügen, die Schlüssel und Zertifikate auf dem Zielcomputer "importieren".	Auf dem Zielrechner können die einzelnen Benutzer der Infineon Security Platform ihre Schlüssel und Zertifikate importieren. Gehen Sie wie folgt vor: Wählen Sie im Infineon Security Platform Settings Tool Migration. Wählen Sie Dies ist die Zielplattform und klicken Sie auf Importieren.... Wechseln Sie zu der Archivdatei SpMigrationArchive.xml und klicken auf Weiter. Geben Sie Ihr Basis-Benutzerkennwort des Ausgangsrechners ein und klicken auf Weiter. Überprüfen Sie die Einstellungen und klicken Sie auf Weiter. Wenn die Security Platform-Funktionen bereits auf der Zielplattform konfiguriert sind, erscheint eine Warnung. Lesen Sie die Warnung aufmerksam und klicken Sie auf Ja. Prüfen Sie auf der Fertigstellungs-Seite, ob die Migration der Benutzerschlüssel und Zertifikate erfolgreich war, und klicken dann auf Beenden. Im Fenster Fertigstellen des Assistenten haben Sie die Möglichkeit, automatisch mit dem nächsten Schritt fortzufahren, indem Sie die Option Assistent zur Security Platform Benutzerinitialisierung starten auswählen. Ist ein Personal Secure Drive vor der Migration auf dem Zielrechner konfiguriert, gehen alle Dateien dieses Personal Secure Drive verloren. Bitte löschen Sie das aktuelle Personal Secure Drive (siehe Löschen Ihres Personal Secure Drives) und konfigurieren Sie es neu, damit es mit den neuen Schlüsseln arbeitet. Prüfen Sie außerdem, ob nun alle Zertifikate auf dem Zielrechner verfügbar sind, indem Sie zu Benutzereinstellungen - Security Platform Zertifikat-Anzeige wechseln. Beachten Sie die Hinweise zu Migration und Personal Secure Drives.
Schritt 3 - Konfiguration von Applikationen für die Verwendung der migrierten Schlüssel und Zertifikate	Anleitung:
Nach erfolgter Migration der Schlüssel und Zertifikate müssen diese neuen Benutzerinformationen allen betroffenen Applikationen zugeordnet werden, mit denen der Benutzer auf dem Zielcomputer arbeiten will.	Da die Benutzerdaten von mehreren Applikationen benutzt werden können, ist die jeweilige Methode zum Importieren der übertragenen Schlüssel und Zertifikate abhängig vom jeweiligen Hersteller der Anwendungssoftware. Beispielsweise können Sie als Benutzer das Encrypting File System für die Verwendung der übertragenen Schlüssel und Zertifikate konfigurieren. Gehen Sie wie folgt vor: Gehen Sie zu Benutzereinstellungen im Infineon Security Platform Settings Tool. Klicken Sie auf Konfigurieren.... Folgen Sie den Anweisungen auf dem Bildschirm und klicken auf Ändern... unter Security Platform-Funktionen - Verschlüsselungszertifikat-Seite. Wählen Sie das migrierte Zertifikat, klicken Sie auf OK und fahren mit der nächsten Seite des Assistenten fort.
Schritt 4 - Rekonfigurieren von Benutzereigenschaften - Personal Secure Drive	Anleitung:
Sobald die Migration der Schlüssel und Zertifikate vollständig erfolgt ist, muss der Benutzer die Personal Secure Drive Einstellungen auf dem Zielcomputer neu konfigurieren.	Wenn ein oder mehrere Personal Secure Drives auf dem Herkunftsrechner konfiguriert wurden, müssen Sie die migrierten Personal Secure Drives auf dem Zielrechner neu konfigurieren (siehe Verwaltung Ihrer Personal Secure Drives). Um ein Personal Secure Drive neu zu konfigurieren, wählen Sie Ich möchte meine Personal Secure Drive Einstellungen ändern und befolgen Sie die Anweisungen auf dem Bildschirm. Um eine Kopie eines Quell-Personal Secure Drives auf dem Zielcomputer zu verwenden, muss die betroffene Sicherungs-Image-Datei (Standard-Dateiname: SpPSDBackup.fsb) des Quellcomputers wiederhergestellt werden. Beachten Sie, dass Sie nach der Wiederherstellung zwei unabhängige Personal Secure Drives auf dem Quell- und Zielcomputer besitzen. .

previous page start next page