Zertifizierungsstellen

Eine Zertifizierungsstelle (Certification Authority, CA) ist eine Einheit, die zur Ausstellung von Zertifikaten an Personen, Computer oder Organisationen berechtigt ist. Diese Zertifikate bestätigen die Identität sowie weitere Attribute des Zertifikatantragstellers gegenüber anderen Einheiten.

Zertifizierungsstellentypen

Eine Zertifizierungsstelle nimmt eine Zertifikatanforderung entgegen, überprüft die Informationen des Antragstellers gemäß der Richtlinie der Zertifizierungsstellen und verwendet dann ihren privaten Schlüssel, um das Zertifikat mit ihrer digitalen Signatur zu versehen. Anschließend stellt die Zertifizierungsstelle dem Antragsteller ein Zertifikat aus, das innerhalb einer Infrastruktur öffentlicher Schlüssel als Sicherheitsanmeldeinformation verwendet werden kann. Darüber hinaus ist eine Zertifizierungsstelle für die Sperrung von Zertifikaten und die Veröffentlichung einer Zertifikatsperrliste zuständig.

Eine Zertifizierungsstelle kann remote auf dem System einer externen Einheit ausgeführt werden, z. B. VeriSign, oder sie kann nach der Installation der Microsoft-Zertifikatdienste als Zertifizierungsstelle für die Organisation eingerichtet werden. Jede Zertifizierungsstelle kann andere Kriterien für den Identitätsnachweis der Antragsteller aufstellen und z. B. ein Domänenkonto der Windows Server 2003-Produktfamilie, Mitarbeiterausweise, Führerscheine, notarielle Beglaubigungen oder physische Adressen fordern. Identifikationsprüfungen wie diese rechtfertigen oftmals eine organisationseigene Zertifizierungsstelle, sodass eigene Mitarbeiter oder Mitglieder überprüft werden können.

Microsoft-Zertifizierungsstellen verwenden die Anmeldeinformationen des Benutzerkontos einer Person als Identitätsnachweis. Wenn Sie an einer Domäne der Windows Server 2003-Produktfamilie angemeldet sind und ein Zertifikat von einer Organisationszertifizierungsstelle anfordern, erkennt die Zertifizierungsstelle anhand der im Active Directory-Verzeichnisdienst gespeicherten Informationen, um welchen Benutzer es sich handelt.

Jede Zertifizierungsstelle verfügt über ein Zertifikat zur Bestätigung der eigenen Identität. Das Zertifikat wird von einer anderen vertrauenswürdigen Zertifizierungsstelle oder, wie bei der Stammzertifizierungsstelle, von der Stelle selbst ausgestellt. Sie sollten bedenken, dass Zertifizierungsstellen von beliebigen Personen eingerichtet werden können. So stellt sich immer wieder die Frage, ob Sie als Benutzer oder Administrator der Zertifizierungsstelle vertrauen, und, um die Fragestellung weiterzuführen, ob Sie auch den Richtlinien und Verfahren vertrauen, mit denen die Zertifizierungsstelle die Identität jener Einheiten bestätigt, die Zertifikate von der Zertifizierungsstelle erhalten.


Stammzertifizierungsstellen und untergeordnete Zertifizierungsstellen

  • Stammzertifizierungsstelle
    Eine Stammzertifizierungsstelle gilt als die vertrauenswürdigste Form der Zertifizierungsstelle in der Infrastruktur öffentlicher Schlüssel einer Organisation. Die physikalische Sicherheit für die Zertifikatausstellung einer Stammzertifizierungsstelle ist in der Regel höher und die Richtlinien sind strenger als die für untergeordnete Zertifizierungsstellen. Wenn die Stammzertifizierungsstelle gefährdet ist oder ein Zertifikat für eine nicht autorisierte Einheit ausgestellt wird, ist jedes zertifikatbasierte Sicherheitssystem in Ihrer Organisation plötzlich angreifbar. Obwohl Zertifikate, z. B. für das Senden sicherer E-Mail, auch von Stammzertifizierungsstellen für Endbenutzer ausgestellt werden können, stellen Stammzertifizierungsstellen in den meisten Organisationen nur Zertifikate für andere Zertifizierungsstellen, die so genannten untergeordneten Zertifizierungsstellen, aus.

  • untergeordnete Zertifizierungsstelle
    Eine untergeordnete Zertifizierungsstelle ist eine Zertifizierungsstelle, die von einer anderen Zertifizierungsstelle in der Organisation zertifiziert wurde. Untergeordnete Zertifizierungsstellen stellen in der Regel Zertifikate für bestimmte Verwendungszwecke aus, darunter sichere E-Mail, webbasierte oder Smartcardauthentifizierungen. Zertifikate können von einer untergeordneten Zertifizierungsstelle auch an eine andere Zertifizierungsstelle ausgegeben werden, die dieser wiederum untergeordnet ist. Zusammen bilden die Stammzertifizierungsstelle und die untergeordneten, von der Stammzertifizierungsstelle zertifizierten Stellen sowie weitere untergeordnete Zertifizierungsstellen, die von anderen untergeordneten Zertifizierungsstellen zertifiziert wurden, eine Zertifizierungshierarchie.

Organisationszertifizierungsstellen und eigenständige Zertifizierungsstellen

  • Organisationszertifizierungsstelle
    Eine Organisationszertifizierungsstelle setzt das Vorhandensein von Active Directory voraus.
    Sie können Zertifikate von einer Organisationszertifizierungsstelle mithilfe des Zertifikatanforderungs-Assistenten (der aus dem Zertifikat-Snap-In aufgerufen wird) oder der Webseiten der Zertifizierungsstelle anfordern.
    In Abhängigkeit von den auszustellenden Zertifikaten und den Sicherheitsberechtigungen des Antragstellers bieten Organisationszertifizierungsstellen dem Antragsteller verschiedene Typen von Zertifikaten an.
    Organisationszertifizierungsstellen verwenden die in Active Directory verfügbaren Informationen zur Überprüfung der Identität des Antragstellers. Organisationszertifizierungsstellen veröffentlichen ihre Zertifikatsperrlisten sowohl in Active Directory als auch in einem freigegebenen Verzeichnis.



  • Eigenständige Zertifizierungsstelle
    Eine eigenständige Zertifizierungsstelle ist für einen Benutzer weniger automatisiert als eine Organisationszertifizierungsstelle, da diese unabhängig von Active Directory ist. Benutzer können bei einer eigenständigen Zertifizierungsstelle Zertifikate standardmäßig nur über Webseiten beantragen. Eigenständige Zertifizierungsstellen, die ohne Active Directory arbeiten, müssen im Allgemeinen vom Zertifikatantragsteller umfassendere Identifizierungsinformationen anfordern. Eigenständige Zertifizierungsstellen machen ihre Zertifikatsperrlisten in einem freigegebenen Ordner oder (falls vorhanden) mithilfe von Active Directory verfügbar.