Allgemeines
Zertifikate
Ein X.509-Zertifikat dient dazu, die Identität z.B. einer Person oder eines Servers allgemein bekannt zu geben. Dazu gehört ein geheimer Schlüssel (private key), den nur der Inhaber des Zertifikats kennt. Die Sicherheit, die durch das X.509-Zertifikat gegeben wird, hängt in erster Linie von der Geheimhaltung dieses Schlüssels ab. (Es lassen sich alle Operationen mit dem Zertifikat durchführen, ohne dass der geheime Schlüssel bekannt geben werden muss.)
Ein X.509 Zertifikat beinhaltet die Unterschrift der Instanz, welche die Identität des Zertifikatinhabers beglaubigt. In unserer Umgebung wird die Unterschrift nach Prüfung durch das Rechenzentrum (UniBwM CA-G01) erteilt. Wer dieser Instanz, hier dem RZ, Vertrauen schenkt, traut auch der Identität der Inhaber aller von dieser Instanz unterschriebenen Zertifikate. Somit kann eine Vertrauenskette bzw. Hierarchie aufgebaut werden. Das Zertifikat von "UniBwm CA-G01" basiert auf dem Zertifikat von "DFN-Verein PCA Global - G01" und dies wiederum auf dem von "Deutsche Telekom Root CA 2". Darum genügt es in den meisten Fällen, dem Zertifikat der "Deutsche Telekom Root CA 2" zu vertrauen.
Alle Zertifikate sind nur einen beschränkten Zeitraum lang gültig. Dieser steht im Zertifikat. Wenn die Notwendigkeit besteht (beispielsweise wenn der geheime Schlüssel bekannt wird), kann die unterschreibende Instanz einem Zertifikat, das sie ausgestellt hat, das Vertrauen vorzeitg entziehen. In Form einer Sperrliste gibt diese Instanz die Zertifikate allen bekannt, denen sie das Vertrauen entzogen hat. Ferner kann auch ein Server-Dienst diese Information durch das Online Certificate Status Protocol (OCSP) bekannt geben, so dass sie immer aktuell verfügbar ist.
Einsatz von persönlichen Zertifikaten
Der Inhaber eines persönlichen X.509 Zertifikats kann damit Nachrichten und Dateien digital unterschreiben, so dass der Empfänger feststellen kann, ob die digital unterschriebene Nachricht oder Datei wirklich von dem Inhaber des Zertifikat unterschrieben wurde. Ferner kann der Empfänger feststellen, ob der Inhalt der Nachricht oder die Datei verändert oder verfälscht wurde.
Der Inhaber eines X.509 Zertifikats kann auch Nachrichten und Dateien verschlüsseln und an einen Empfänger, der selbst ein eigenes X.509 Zertifikat besitzt, senden, ohne dass Aussenstehende den Inhalt lesen können.
Veraltetes Wurzelzertifikat des RZ
Bis 2007 hat das Rechenzentrum eigene selfsigned Zertifikate ausgestellt. Diese Zertifikate verfielen im Herbst 2008.
Jetzt ist die UniBwM Teil der DFN-PKI. Neue Zertifikate werden nur noch innerhalb der DFN-PKI erzeugt. Weitere Informationen dazu unter http://www.unibw.de/rz/dienste/pki.
