Zertifikate

Ein Zertifikat für öffentliche Schlüssel, das meist nur als Zertifikat bezeichnet wird, ist eine digital signierte Anweisung, mit der der Wert eines öffentlichen Schlüssels an die Identität des Benutzers, Geräts oder Dienstes gebunden ist, der bzw. das den entsprechenden privaten Schlüssel besitzt. Die meisten Zertifikate beruhen auf dem Standard für X.509v3-Zertifikate. Ausführliche Informationen zur Verschlüsselung mit öffentlichen Schlüsseln finden Sie unter Ressourcen: Infrastruktur öffentlicher Schlüssel.

Zertifikate können für eine Reihe von Funktionen ausgestellt werden. Dazu gehören z. B. Webbenutzerauthentifizierung, Webserverauthentifizierung, sichere E-Mail-Nachrichten (mithilfe von S/MIME (Secure/Multipurpose Internet Mail Extensions), IPSec (Internet Protocol Security), TLS (Transport Layer Security) und Codesignatur. Zertifikate werden auch zum Erstellen einer Zertifizierungshierarchie von einer Zertifizierungsstelle an eine andere ausgestellt.

Der Empfänger des Zertifikats ist der Antragsteller des Zertifikats. Die Stelle, die das Zertifikat ausstellt und signiert, wird als Zertifizierungsstelle bezeichnet.

In der Regel enthalten Zertifikate folgende Informationen:

  • Wert des öffentlichen Schlüssels des Antragstellers.
  • Informationen zur Identifizierung des Antragstellers, z. B. Name und E-Mail-Adresse.
  • Gültigkeitsdauer (Zeitraum, in dem das Zertifikat gültig ist).
  • Ausstellerkennung.
  • Die digitale Signatur des Ausstellers, die die Gültigkeit der Bindung zwischen dem öffentlichen Schlüssel und den Identifizierungsinformationen des Antragstellers bestätigt.

Ein Zertifikat ist nur für die im Zertifikat angegebene Dauer gültig. Jedes Zertifikat enthält die Datumsangaben Gültig ab und Gültig bis, die die Grenzen der Gültigkeitsdauer festlegen. Wenn die Gültigkeitsdauer eines Zertifikats abgelaufen ist, muss ein neues Zertifikat vom Antragsteller des abgelaufenen Zertifikats beantragt werden.

Wenn es nötig ist, die in einem Zertifikat bestätigte Bindung rückgängig zu machen, kann ein Zertifikat durch den Aussteller gesperrt werden. Jeder Aussteller verwaltet eine Zertifikatsperrliste, die von Programmen beim Überprüfen der Gültigkeit eines Zertifikats verwendet werden kann.

Einer der Hauptvorteile von Zertifikaten ist, dass Hosts für einzelne Antragsteller nicht länger eine Gruppe von Kennwörtern verwalten müssen, die vor dem Zugriff authentifiziert werden müssen. Stattdessen wird lediglich eine Vertrauensstellung zwischen Host und Zertifikatsausteller hergestellt.

Wenn ein Host, z. B. ein sicherer Webserver, einen Aussteller als vertrauenswürdige Stammzertifizierungsstelle ausweist, vertraut der Host den Richtlinien, die der Aussteller zum Herstellen der Bindungen von ihm ausgegebener Zertifikate verwendet hat. Tatsächlich vertraut der Host darauf, dass der Aussteller die Identität des Zertifikatsantragstellers überprüft. Ein Host weist einen Aussteller als vertrauenswürdige Stammzertifizierungsstelle aus, indem er das vom Aussteller selbstsignierte Zertifikat, das den öffentlichen Schlüssel des Ausstellers enthält, im Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstelle auf dem Hostcomputer platziert. Temporäre oder untergeordnete Zertifizierungsstellen sind nur vertrauenswürdig, wenn sie einen gültigen Zertifizierungspfad von einer vertrauenswürdigen Stammzertifizierungsstelle haben.