|
 certificate formats
| Microsoft certificate extensions
|
Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding! |
X.509 certificate extensions |
| |
|
|
|
Diese Standarderweiterungen aus X.509 sind von PKIX genauer ausspezifiziert worden, andere private Erweiterungen für spezifische Anwendungen oder Rückwärtskompatibilität werden nicht aufgeführt. Die Erweiterungen lassen sich zu verschiedenen Themenbereichen zusammenfassen, es existieren Erweiterungen zu den Schlüsseln, den Richtlinien, zu Aussteller und Inhaber und dem Zertifizierungspfad.
|
Kritikalitätsindikator |
Zertifikatserweiterungen haben ein Kritikalitäts-Flag, das anzeigt, ob eine Erweiterung kritisch ist oder nicht. Wenn dieses Flag gesetzt ist, muss die Erweiterung verarbeitet werden. Wenn eine Anwendung eine Erweiterung nicht kennt, oder nicht verarbeiten kann, darf das Zertifikat nicht verarbeitet werden bzw. muss als ungültig betrachtet werden.
Ist eine Erweiterung als nicht-kritisch markiert, kann ein Benutzer oder eine Anwendung diese ignorieren.
|
Standarderweiterungen |
 |
Authority Key Identifier |
|
(Subject) Key Identifier |
|
Key Usage (Restriction) |
|
Private Key (Validity) Usage Period |
|
Certificate Policies |
|
Policy Mappings |
|
Subject Alternative Name |
|
Issuer Alternative Name |
|
Subject Directory Attributes |
|
Basic Constraints |
|
Name Constraints |
|
Policy Constraints |
|
Inhibit any Policy Constraint (non PKIX) |
|
Extended Key Usage |
|
CRL Distribution Point |
|
private PKIX Erweiterungen |
|
Authority Information Access |
|
Subject Information Access |
|
Ausstellerschlüssel-ID |
Der Authority Key Identifier ist eine nicht-kritische Erweiterung die verwendet wird, um den richtigen Ausstellerschlüssel zu identifizieren, wenn eine CA unterschiedliche Schlüsselsätze und Zertifikate verwendet, was im Falle von Zertifikatsverlängerungen oder -überlappungen der Fall sein kann. Diese explizite Angabe des Schlüssels hilft auch für Langzeitsignaturen den richtigen Schlüssel und einen Pfad für die Verifikation zu finden.
Die Angabe kann mittels einer eindeutigen Schlüssel-ID (z.B. Hash) erfolgen oder einer Kombination aus einer Seriennummer und den CA-Namen erfolgen, wobei eine Schlüssel-ID natürlich spezifischere Information für die Konstruktion eines Pfades liefert.
In PKIX muss diese Erweiterung in allen CA-Zertifikaten vorhanden sein, außer das Zertifikat ist selbstsigniert.
|
Inhaberschlüssel-ID |
Der Subject Key Identifier identifiziert analog dazu den Schlüssel des Inhabers. Bei PKIX muss diese Erweiterung in allen CA-Zertifikaten vorhanden sein und empfohlen für Endzertifikate.
|
Schlüsselverwendung |
Diese (kritische) Erweiterung definiert den Zweck, für den der öffentliche Schlüssel verwendet werden darf. Die einzelnen Bits dieses Feldes haben unterschiedliche Bedeutung.
Digitale Signatur: (digital signature) diese Option ist gesetzt, wenn der öffentliche Schlüssel für digitale Signaturen verwendet werden soll, die nicht den Zweck der Nichtabstreitbarkeit erfüllen sollen, d.h. eher kurzfristigen Charakter haben.
Nichtabstreitbarkeit: (non repudiation) diese Option ist gesetzt, wenn der Schlüssel für digitale Signaturen eines Nichtabstreitbarkeitsservice verwendet werden soll, d.h. eher langfristigen Charakter besitzt, z.B. Notariatsservice.
Schlüsselverschlüsselung: (key encipherment) diese Option ist gesetzt, wenn der Schlüssel für die Verschlüsselung von anderen Schlüsseln oder Sicherheitsinformation verwendet werden soll, ev. im Zusammenspiel mit encipher only und decipher only kann die Verwendung eingeschränkt werden.
Datenverschlüsselung: (data encipherment) diese Option ist gesetzt, wenn der Schlüssel zur Verschlüsselung von Benutzerdaten (außer andere Schlüssel) verwendet werden soll.
Schlüsselvereinbarung: (key agreement) ist gesetzt, wenn der Diffie Hellman Algorithmus für die Schlüsselvereinbarung verwendet werden soll.
Zertifikatsignatur: (keycert Sign) wenn der Schlüssel für die Verifikation von Signaturen auf Zertifikaten verwendet wird, d.h. sinnvoll bei CA-Zertifikaten.
CRL-signatur: (CRL Sign) wenn der Schlüssel für die Verifikation von Signaturen auf CRLs verwendet wird, sinnvoll bei CA-Zertifikaten.
Nur Verschlüsselung: (encipher only) nur zusammen mit Schlüsselvereinbarung nach Diffie Hellman sinnvoll.
Nur Entschlüsselung: (decipher only) nur zusammen mit Schlüsselvereinbarung nach Diffie Hellman sinnvoll.
|
Erweiterte Schlüsselverwendung |
Die Extended Key Usage wird verwendet um mittels OIDs zusätzliche Information für die Schlüsselverwendung bereitzustellen. SSL definiert eine Extended Key Usage Option für die Server Gated Cryptography
- SGC
Z.B. Microsoft definiert Erweiterungen für: Smart Card Logon, EFS,...
|
|
|
Verwendung |
OID |
Verwendung |
OID |
|
Serverauthentifizierung (Webserver) |
1.3.6.1.5.5.7.3.1 |
IPSec end system |
1.3.6.1.5.5.7.3.5 |
|
Client authentication |
1.3.6.1.5.5.7.3.2 |
IPSec tunnel |
1.3.6.1.5.5.7.3.6 |
|
Code signing |
1.3.6.1.5.5.7.3.3 |
IPSec user |
1.3.6.1.5.5.7.3.7 |
|
Email Protection |
1.3.6.1.5.5.7.3.4 |
Timestamping |
1.3.6.1.5.5.7.3.8 |
|
Netscape SGC |
2.16.840.1.113730.4.1 |
Microsoft Server Gated Crypto - SGC |
1.3.6.1.4.1.311.10.3.3 |
|
 |
 |
 |
|
 |
|
Gültigkeitsperiode des privaten Schlüssel |
Die Private Key Usage Period ermöglicht dem privaten Schlüssel eine andere Gültigkeitsperiode als dem Zertifikat zuzuweisen, und besteht aus einer Sequenz von 2 Datumsangaben.
|
Zertifikatsrichtlinie |
Die Certificate Policies Erweiterung beinhaltet eine Liste von Zertifikatsrichtlinien, jeweils OID und Name, die dem Zertifikat zugrunde liegen.
|
Policy Mapping |
Diese Erweiterung findet bei CA-Zertifikaten Anwendung, wenn eine ausstellende CA festhalten möchte, dass eine ihrer Zertifikatsrichtlinien mit einer Zertifikatsrichtlinie der antragstellenden CA equivalent ist. Diese Liste von Paaren muss bei PKIX als nicht-kritisch markiert sein.
|
Alternativer Name des Inhabers |
Der Subject Alternative Name besteht aus einer Liste von alternativen Namen für den Inhaber des Zertifikates, diese Namen können, RFC822-Namen (E-Mail), DNS-Namen, X.400 Adressen, EDI-Namen, URIs oder IP-Adressen sein, im Grunde ist jedes strukturiertes Namenschema verwendbar. Bei PKIX muss diese Erweiterung kritisch sein, wenn das Subject-Feld im Zertifikat leer ist.
|
Alternativer Name des Ausstellers |
Für den Issuer Alternative Name gilt dasselbe wie für den Subject Alternative Name.
|
Subject Directory Attributes |
Die Subject Directory Attributes Erweiterung ist dafür gedacht, zusätzliche Information über den Inhaber bereitzustellen, die nicht als DN im Subject Feld oder im Subject Alternative Name Erweiterung aufgenommen werden kann.
|
Basic Constraints |
Die "grundlegenden Beschränkungen" erlauben es, CA-Zertifikate als solche zu identifizieren, und wie lange ein Zertifizierungspfad sein darf. Bei PKIX ist diese Erweiterung in CA-Zertifikaten als kritisch zu markieren.
|
Name Constraints |
Diese Namensbeschränkungen definieren erlaubte Namen in untergeordneten Zertifikaten und sind deshalb nur in CA-Zertifikaten sinnvoll
|
Policy Constraints |
Mit diesen Beschränkungen kann definiert werden, dass folgende Zertifikate im Zertifizierungspfad entsprechende Policy-Identifier (OIDs) definiert haben, bzw. das Policy Mapping in untergeordneten Zertifikaten zu verbieten.
|
Inhibit any Policy Constraint |
Diese Erweiterung erlaubt den Ausschluss der Verwendung des Any Policy Identifiers, was Kontrolle über CAs erlaubt, die "any Policy" anstatt einer expliziten Angabe verwenden. PKIX unterstützt diese Erweiterung NICHT.
|
CRL Verteilungspunkte |
Die CRL Distribution Points beinhaltet URIs (Pointer) auf die aktuelle CRL.
|
Authority Information Access |
Diese PKIX Erweiterung definiert, wie weitere Information und Services der ausstellenden CA genutzt werden können. Darin können weitere Informationen über die CA (weitere Richtlinien, Stammzertifikate,...) oder Online Verifikation Services (z.B. OCSP) bereitgestellt werden. Vor allem wenn bei Zertifikatsanwendungen wie Secure Mail (S/MIME) nicht der ganze Zertifizierungspfad mitgeschickt wird, ist es für die prüfende Anwendung nett, wenn im Endzertifikat in dieser Erweiterung aufgeführt ist, wo das nächsthöhere CA-Zertifikat abzurufen ist.
|
Subject Information Access |
Diese PKIX - Erweiterung definiert weitere Informationen und Services, die der Inhaber des Zertifikats bietet. Ein CA-Zertifikat könnte beispielsweise Informationen über das zugehörige Zertifikatsverzeichnis bieten, bzw. oder über den angebotenen Zeitstempeldienst.
|
Linktipps |
|
|
|
