Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  PKI  
  Zertifikate  
  Digitale Signatur  
  Signaturgesetzgebung  
  PKI-Planung  
  So Geht's  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

X.509 Zertifikatserweiterungen

Zertifikatsformate
 
PRAXIS
 
Ein Zertifikat ist ein "Ausweis", der einen öffentlichen Schlüssel an eine Identität bindet.

x.509
Der X.509 Standard der ITU definiert unter anderem ein Zertifikatsformat für Public-Key-Zertifikate, sowie für Attributzertifikate und Widerrufslisten.
Zertifikat

Zertifikat



Export / Import Formate
Als Container für den Import und Export von Zertifikaten sind die PKCS-Formate PKCS #7 , und PKCS #12 gebräuchlich. PKCS #10 ist ein Sonderfall und wird für die sichere Übermittlung des öffentlichen Schlüssels an eine CA bei einem Zertifizierungsrequest eingesetzt.


Zertifikatstypen in einer PKI
In einer PKI können unterschiedliche Zertifikate existieren.

End Entity Zertifikate: oder Endzertifikate, Benutzerzertifikate, Teilnehmerzertifikate sind von der CA an eine bestimmte Entität ausgestellt, die ihrerseits KEINE weiteren Zertifikate damit ausstellt.

CA- Zertifikate: sind von einer CA an eine Entität ausgestellt, die Ihrerseits eine CA ist und weitere End Entity oder andere Zertifikate ausstellt. CA-Zertifikate können an der Basic Constraints - Erweiterung erkannt werden. Bei CA-Zertifikaten können wiederum mehrere Zertifikate unterschieden werden.

Self-signed Zertifikate: Ein Stammzertifikat und Angelpunkt einer Vertrauenshierarchie ist für gewöhnlich ein selbstsigniertes Zertifikat. Der zertifizierte öffentliche Schlüssel gehört dabei zum privaten Schlüssel, mit dem das Zertifikat signiert wurde.

Cross Zertifikat: In diesen Zertifikaten sind Aussteller und Antragsteller unterschiedliche CAs. Sie werden benutzt um zwischen CAs Vertrauensstellungen zu kreieren.

Self-issued Zertifikate: In diesen Zertifikaten sind Aussteller und Antragstellernahme von derselben CA. Diese speziellen Zertifikate können benutzt werden, um die Validierung eines neuen öffentlichen Schlüssels der CA zu ermöglichen, wenn ein neues Schlüsselpaar zum Einsatz kommt. Der alte private Schlüssel wird dabei verwendet um den neuen öffentlichen Schlüssel zu signieren und damit erlaubt diesem zu Vertrauen.

Attributszertifikate
Bei Attributszertifikate wird nicht ein öffentlicher Schlüssel an die Identität des Inhabers durch einen Dritten gebunden und bestätigt, sondern nur bestimmte Rechte bzw. Privilegien an einen Inhaber gebunden. Attributszertifikate sind deshalb mit einem "Identitätszertifikat" verbunden, d.h. im Attributszertifikat wird das zugehörige Public-Key-Zertifikat referenziert.

Natürlich kann in X.509 Zertifikaten über die Erweiterung "Subject Directory Attributes" so etwas definiert werden, doch sind Public-Key-Zertifikate sinnvollerweise über längere Zeiträume gültig - während z.B. zusätzliche Sonderrechte wahrscheinlich nur kürzere Zeit Gültigkeit besitzen.

Attribute sind üblicherweise Gruppenmitgliedschaften, Rollen, Transaktionslimits, eingeschränkte Zeiten für Zugriffe,... wobei es kein Problem darstellt mehrere Attributszertifikate dem Inhaber eines Identitätszertifikates auszustellen.

PGP - Zertifikate
PGP Zertifikate weisen aufgrund des praktisch gleichen Inhalts Ähnlichkeiten zu X.509 auf, sind aber nicht mit X.509 kompatibel! Obgleich PGP grundsätzlich auf einem Web of Trust aufbaut existieren auch PGP - Zertifizierungstellen womit das Trusted Third Party Konzept für PGP eingeführt wird.

Fingerabdruck
In den verschiedenen Viewern für Zertifikate werden Eigenschaften des Zertifikates angezeigt, nämlich Fingerabdruck und der dazugehörige Fingerabdruckalgorithmus. Je nach Viewer wird ein MD5 oder ein SHA-1 Hash-Wert des Zertifikates angezeigt. Vor allem beim Import von selbstsignierten Zertifikaten einer Zertifizierungsstelle kann so die Integrität des Zertifikates überprüft werden.



X.509


X.509 Zertifikatserweiterungen


Microsoft Zertifikatserweiterungen


X.509 CRL


X.509 CRL-Erweiterungen


PKI-Standards PKIX


ASN.1 und OID


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  X.509  
  X.509 Zertifikatserweiterungen  
  Microsoft Zertifikatserweiterungen  
  X.509 CRL  
  X.509 CRL-Erweiterungen  
  PKI-Standards PKIX  
  ASN.1 und OID  
 
  X.509 Attributszertifikate  
  Zertifikatsmanagement  
  Zertifikatsprüfung  
  Veröffentlichung von Widerrufsinformation  
  Zertifizierungsdiensteanbieter  
  Zertifizierungsrichtlinien  
  Vertrauensmodelle  
  Zertifizierungshierarchie  
  MS-Enterprise-CA  
  Authentisierung mit PKI  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2011 CRYPTAS. Alle Rechte vorbehalten Jobs & Karriere