Allg. Info zu Zertifikaten

Allgemeines zu X.509-Zertifikaten an der UniBwM

Allgemeines

Allgemeines zu Zerti­fikaten

X.509-Zertifikate können die private-key von Per­so­nen und Servern identifizieren. Sie garan­tie­ren nicht die Un­be­denk­lich­keit der damit ver­se­henen Infor­ma­tionen (beispiels­weise kann eine digi­tal sig­nierte Mail Mal­ware ent­halten). Sie hel­fen aber, den Ur­sprung der Infor­ma­tionen fest­zu­stellen.

Voraussetzung ist die Geheim­haltung des private-key, wofür grund­sätz­lich der Zer­ti­fi­kat­neh­mer ver­ant­wort­lich ist.

PKI - Public-Key-Infrastruktur

Eine PKI (Public Key Infrastruktur) ist ein System, das Zertifikate ausstellen, verteilen und prüfen kann. Mit ihrer Hil­fe ge­langt man an die je­wei­li­gen public-keys, ohne jeden In­ha­ber eines private-keys per­sön­lich zu ken­nen, key-signing-Parties zu be­su­chen o.ä.

In unserer Um­ge­bung ist das Rechennzentrum Ansprechpartner für Zertifikate. Nachdem das RZ die Daten des An­trag­stel­lers ge­prüft hat, wird ein Zertifikat dem Nutzer übergeben. Das Re­chen­zent­rum betreibt dazu den sogenannten Teilnehmerservice der UniBwM CA.

Hinweise

  • Zertifizierungsstellen (CA - certificate authorities) beglaubigen mehrere public-keys und bilden so eine Hierarchie. Da auch für die CA Zertifikate ausgestellt werden, ist die Hierarchie mehrstufig. Die Zertifikate der obersten CA werden als Wurzelzertikate bezeichnet.
  • Wer ein Zer­ti­fi­kat einer CA akzeptiert, vertraut allen Zer­ti­fi­katen in der da­runter­lie­gen­den Hier­archie.
    Das Zerti­fikat der UniBwM CA "UniBwm CA-G01" basiert auf dem Zerti­fikat von "DFN-Verein PCA Global - G01" und dieses auf dem Wurzel­zerti­fikat von "Deutsche Telekom Root CA 2". (Stand: 2014)
    Darum genügt es in der Re­gel, Wur­zel­zer­ti­fikaten zu vertrauen.
  • Browser-Hersteller stat­ten ihre Pro­dukte mit einem Satz von Wur­zel­zer­ti­fi­ka­ten aus, wo­durch nur sel­ten zu­sätz­liche Wur­zel­zer­ti­fi­ka­te importieren müs­sen. Sie ak­zep­tieren da­durch, was vielen Nutzern nicht bewusst ist, eine un­über­schau­bare Viel­zahl von Zer­ti­fi­katen.

Einsatz von Server-Zertifikaten

Bei Servern werden Zer­ti­fi­kate be­nutzt, um Nut­zern die Si­cher­heit zu ge­ben, den rich­tigen Ser­ver zu be­nut­zen (Schutz vor man in the middle) und um die Daten­über­tragung mit TLS zu ver­schlüs­seln (Schutz vor Ab­hören).
Typi­sche Anwen­dun­gen sind Web-Server mit https: Bei­spiels­weise möchte man bei der Nutzer­ver­wal­tung des RZ unter https://nutzer.unibw.de sicher sein, mit dem ein­schlä­gi­gen Ser­ver des RZ ver­bun­den zu sein, ohne ab­ge­hört zu werden.

Einsatz von persön­lichen Zerti­fikaten

Digitale Unterschrift (signature)

Der Inhaber eines persön­lichen (SmartCard Sign and Logon-) Zerti­fikats kann mit seinem private-key Nach­rich­ten digi­tal unter­schrei­ben. Der Emp­fän­ger kann mit dem Zer­ti­fi­kat fest­stel­len, ob die digi­tal unter­schrie­bene Nach­richt wirk­lich von dem In­ha­ber des Zer­ti­fi­kats stammt und ob der In­halt der Nach­richt un­ver­ändert ist.

Verschlüsselung (encryption)

Bei Kenntnis eines (SmartCard Encrypt-)Zer­ti­fikats kann man Nach­rich­ten mit dem darin ent­hal­tenen public-key ver­schlüs­seln und an den Zertifikat­inhaber sen­den, ohne dass Außen­ste­hende den Inhalt lesen können.

Hinweise

Ver­schlüs­se­lte Nach­rich­ten sind bei Ver­lust des ge­hei­men Schlüs­sels ver­lo­ren. Da­her  for­dert die Uni­versi­tät die Hinter­legung die­ser private-keys. Als Fol­ge gibt es bei der "UniBwM CA" ge­tren­nte Schlüsselpaare samt Zer­ti­fi­katen für di­gi­tale Unter­schrif­ten und Ver­schlüs­selung, denn die private-keys di­gi­taler Un­ter­schrif­ten sol­len nicht ko­piert wer­den, auch nicht als Backup.

Bei Ve­rsen­den ver­schlüs­sel­ter Nach­rich­ten wird in der Regel auch der eigene private-key be­nö­tigt, weil die Mail­pro­gram­me eine ver­schlüs­sel­te Kopie im so­ge­nann­ten Sent-Ord­ner ab­legen.

 

Gültigkeit von Zerti­fikaten

 

Zer­ti­fi­kate sind nur einen be­schränkten und im Zer­ti­fikat genannten Zeit­raum lang gül­tig.


[►nach oben ]