|
|
 |
 |
|
 X.509 Attributszertifikate
| Zertifikatsprüfung
|
Zertifikatsmanagement |
| |
|
|
|
Das Zertifikatsmanagement muss sich mit Zertifikaten über die gesamte Lebensdauer hinweg befassen. Eine Zertifizierungsstelle kümmert sich um die Ausstellung, Erneuerung und den Widerruf von Zertifikaten
|
Ausstellung und Registrierung |
Der Vorgang der Registrierung, der Erzeugung des Schlüsselpaares, der Zertifizierung, der Auslieferung, der Veröffentlichung und des Backups vom privaten Schlüssel wird als Gesamtes oft Enrollment genannt.
Die Zertifizierung nimmt die Zertifizierungsstelle (CA) vor, während Registrierungsstellen diesen Vorgang initialisieren können. Je nach Einsatzgebiet können die Anforderungen für die Ausstellung sehr verschieden sein, und Ausstellungsvorgänge dementsprechend unterschiedlich ausfallen.
Wie wird das initiale Vertrauen hergestellt oder der Beweis der Identität gegenüber der CA erbracht?
Je nach Schlüsselgenerierungsvariante (wo und wann) kann auch der Beweis des Besitzes, des, zu zertifizierenden öffentlichen Schlüssels zugehörigen, privaten Schlüssel notwendig sein, siehe dazu PKCS #10
. Vor allem bei Verschlüsselungsschlüssel kann es sinnvoll sein, wenn der private Schlüssel hinterlegt wird.
|
|
 |
|
Registrierungsstelle |
|
|
|
Erneuerung und Wechsel |
Endzertifikat
Die Erneuerung eines Zertifikates wird wohl meist mit dem Ablauf der angegebenen Gültigkeitsdauer begründet sein. Wenn bis dato keine Kompromittierung erfolgte und die Schlüssellänge für eine weitere Gültigkeitsperiode ausreichend erscheint, sollte einer erneuten Ausstellung nichts im Weg stehen - eine Signierung eines solchen Antrags mit dem bestehenden Schlüssel wird hiefür ausreichen. Je nach Policy kann dieser Vorgang aber auch anders gestaltet werden.
Ein Wechsel des Schlüssels wird mit einer normalen Neuausstellung abgewickelt werden. Zu beachten ist eine etwaige Archivierung des alten Schlüssels, damit auf verschlüsselte Dinge weiter zugegriffen werden kann. Besser ist es eine Umschlüsselung vorzusehen.
CA-Zertifikate
Die Erneuerung oder ein Schlüsselwechsel ist bei einem CA Zertifikats einiges aufwendiger, da, abhängig vom Gültigkeitsmodell
unterschiedlich, auch untergeordnete Zertifikate und Benutzer der PKI betroffen sind.
|
Ablauf und Widerruf |
Sperre und Widerruf
Zertifikate können widerrufen oder gesperrt werden. Eine Sperre kann man als einen vorläufigen Widerruf betrachten, z.B. wenn man seine Karte nicht findet, der wieder rückgängig gemacht werden kann.
Beide Begebenheiten müssen veröffentlicht werden, da eine korrekte Prüfung eines Zertifikats nur mit einer Prüfung auf Sperre oder Widerruf vollständig ist. Die Veröffentlichung erfolgt meist über Listen (Certificate Revocation Lists - CRL) im Verzeichnisdienst. Da diese CRLs oft benötigt werden und schnell groß werden können sind können auch "delta CRLs" und "distribution point CRLs", oder Onlineabfragen mit dafür bestimmten Protokollen,
zum Einsatz kommen.
Ablauf
Mit Ablauf eines Zertifikats muss nicht die Lebensdauer eines Schlüsselpaares ablaufen, es kann aber sinnvoll sein, eine Key History, oder Key Archiv zu führen. Auch Widerrufsinformationen können nach Ablauf der normalen Lebenszeit eines Zertifikates sinnvoll sein, um zu einem späteren Zeitpunkt eine Prüfung einer Signatur vornehmen zu können.
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum