Grundlagen zu Zertifikaten
X . 509 ist die Bezeichnung eines Standards für digitale Zertifikate in einer Public-Key-Infrastruktur ( PKI ). Die Zertifikate dienen als elektronischer Echtheitsnachweis oder als Identitätsbestätigung und werden beispielsweise für die verschlüsselte Kommunikation mit HTTPS , OPC UA , MQTT oder für das Verschlüsseln und Signieren von E-Mails verwendet . Die Struktur und der Inhalt eines X . 509-Zertifikats sind genau definiert . Ein Zertifikat enthält neben den Angaben zum Besitzer auch zeitliche Informationen zur Gültigkeit sowie zur vorgesehenen Verwendung und zum Zertifikatsaussteller . Zu den Inhalten gehören ferner die Versionsnummer und Seriennummer des Zertifikats , zur Erstellung verwendete Algorithmen , Informationen über den öffentlichen Schlüssel des Inhabers , die digitale Signatur der Certificate Authority und mögliche Erweiterungen . Dadurch hat sich X . 509 als Standardformat für PKI-Zertifikate etabliert .
Das Zertifikat ist aber nur ein Baustein am Ende der Kette einer für den Betrieb notwendigen PKI . Diese bildet ein hierarchisches System ab , an dessen Spitze ein Root-Zertifikat liegt . Jede Instanz , an der Zertifikate signiert oder beglaubigt werden , wird als Certificate Authority ( CA ) bezeichnet . Diese bestätigt oder zertifiziert dann , dass dieses Zertifikat mit diesem öffentlichen Schlüssel zu dieser beantragenden Person , diesem Gerät oder diesem Service gehört . Einer CA kommt damit eine besonders wichtige Rolle zu . Neben dem Ausstellen und Beglaubigen von Zertifikaten kann diese Instanz auch Zertifikate zurückziehen , muss diese verwalten und in öffentlichen Verzeichnissen zur Verfügung stellen sowie alle Aktivitäten des Zertifizierungsprozesses dokumentieren . Eine CA ist im realen Leben mit der Ausgabestelle für Personalausweise vergleichbar . Der Nutzer hat im Bürgerbüro seine Identität nachgewiesen und einen Ausweis beantragt , den eine übergeordnete Regierungsstelle dann ausstellt . Über das Passbild und die Fingerabdrücke ist der Ausweis an den Nutzer gebunden . Auf neuen Ausweisen befindet sich zusätzlich noch ein digitales Zertifikat sowie ein privater Schlüssel , so dass das Ausweiswesen ähnlich dem hier beschriebenen Szenario funktioniert .
Typische Einsatzmöglichkeiten des X . 509-Standards und digitaler Zertifikate
• Aufbau von verschlüsselten HTTPS-Verbindungen und Datenaustausch zwischen Webserver und Webbrowser
• Verschlüsseln und Signieren von E-Mails per S / MIME-Standard
• Digitales Signieren elektronischer Dokumente
• Digitales Signieren von Software
• Authentifizierung eines Kommunikationsteilnehmers
• Aufbau eines Virtual Private Networks und verschlüsselter Datenaustausch
• Elektronische Identitätsnachweise ( Ausweise )
Root CA signiert die Zertifikate von vertraut
X . 509
Anwender zertifiziert durch
Vertrauen
Intermediate CA
X . 509 signiert die Zertifikate von
Vertrauen
Endpunkt zertifiziert durch
benutzt
X . 509
4