|
 Certificates
| X.509 certificate extensions
|
Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding! |
certificate formats |
| |
|
|
|
Ein Zertifikat
ist ein "Ausweis", der einen öffentlichen Schlüssel an eine Identität bindet.
|
x.509 |
Der X.509
Standard der ITU definiert unter anderem ein Zertifikatsformat für Public-Key-Zertifikate, sowie für Attributzertifikate und Widerrufslisten.
|
 |
 |
|
Certificate |
|
Export / Import Formate |
Als Container für den Import und Export von Zertifikaten sind die PKCS-Formate PKCS #7
, und PKCS #12
gebräuchlich. PKCS #10
ist ein Sonderfall und wird für die sichere Übermittlung des öffentlichen Schlüssels an eine CA bei einem Zertifizierungsrequest eingesetzt.
|
|
|
Zertifikatstypen in einer PKI |
In einer PKI können unterschiedliche Zertifikate existieren.
End Entity Zertifikate: oder Endzertifikate, Benutzerzertifikate, Teilnehmerzertifikate sind von der CA an eine bestimmte Entität ausgestellt, die ihrerseits KEINE weiteren Zertifikate damit ausstellt.
CA- Zertifikate: sind von einer CA an eine Entität ausgestellt, die Ihrerseits eine CA ist und weitere End Entity oder andere Zertifikate ausstellt. CA-Zertifikate können an der Basic Constraints - Erweiterung erkannt werden. Bei CA-Zertifikaten können wiederum mehrere Zertifikate unterschieden werden.
Self-signed Zertifikate: Ein Stammzertifikat und Angelpunkt einer Vertrauenshierarchie ist für gewöhnlich ein selbstsigniertes Zertifikat. Der zertifizierte öffentliche Schlüssel gehört dabei zum privaten Schlüssel, mit dem das Zertifikat signiert wurde.
Cross Zertifikat: In diesen Zertifikaten sind Aussteller und Antragsteller unterschiedliche CAs. Sie werden benutzt um zwischen CAs Vertrauensstellungen zu kreieren.
Self-issued Zertifikate: In diesen Zertifikaten sind Aussteller und Antragstellernahme von derselben CA. Diese speziellen Zertifikate können benutzt werden, um die Validierung eines neuen öffentlichen Schlüssels der CA zu ermöglichen, wenn ein neues Schlüsselpaar zum Einsatz kommt. Der alte private Schlüssel wird dabei verwendet um den neuen öffentlichen Schlüssel zu signieren und damit erlaubt diesem zu Vertrauen.
|
Attributszertifikate |
Bei Attributszertifikate wird nicht ein öffentlicher Schlüssel an die Identität des Inhabers durch einen Dritten gebunden und bestätigt, sondern nur bestimmte Rechte bzw. Privilegien an einen Inhaber gebunden. Attributszertifikate sind deshalb mit einem "Identitätszertifikat" verbunden, d.h. im Attributszertifikat wird das zugehörige Public-Key-Zertifikat referenziert.
Natürlich kann in X.509 Zertifikaten über die Erweiterung "Subject Directory Attributes" so etwas definiert werden, doch sind Public-Key-Zertifikate sinnvollerweise über längere Zeiträume gültig - während z.B. zusätzliche Sonderrechte wahrscheinlich nur kürzere Zeit Gültigkeit besitzen.
Attribute sind üblicherweise Gruppenmitgliedschaften, Rollen, Transaktionslimits, eingeschränkte Zeiten für Zugriffe,... wobei es kein Problem darstellt mehrere Attributszertifikate dem Inhaber eines Identitätszertifikates auszustellen.
|
PGP - Zertifikate |
PGP Zertifikate weisen aufgrund des praktisch gleichen Inhalts Ähnlichkeiten zu X.509 auf, sind aber nicht mit X.509 kompatibel! Obgleich PGP grundsätzlich auf einem Web of Trust aufbaut existieren auch PGP - Zertifizierungstellen
womit das Trusted Third Party Konzept für PGP eingeführt wird.
|
Fingerabdruck |
In den verschiedenen Viewern für Zertifikate werden Eigenschaften des Zertifikates angezeigt, nämlich Fingerabdruck und der dazugehörige Fingerabdruckalgorithmus. Je nach Viewer wird ein MD5 oder ein SHA-1 Hash-Wert des Zertifikates angezeigt. Vor allem beim Import von selbstsignierten Zertifikaten einer Zertifizierungsstelle kann so die Integrität des Zertifikates überprüft werden.
|
|
|
|
|
Legal notice