Zerti­fikate

Ein X.509-Zerti­fikat dient dazu, die Identi­tät z.B. einer Person oder eines Servers all­gemein bekannt zu geben.  Technisch gesehen bestätigt es die Zugehörigkeit eines public key zum private key des Zertifikatsinhabers. Die Sicher­heit, die durch das X.509-Zerti­fikat gegeben wird, hängt in erster Linie von der Geheim­haltung dieses Schlüssels ab. (Es lassen sich alle Opera­tionen mit dem Zerti­fikat durchführen, ohne dass der geheime Schlüssel bekannt geben werden muss.)

Zertifikatshierarchie / Wurzelzertifikat

Ein X.509 Zerti­fikat bein­haltet neben dem public key eine digitale Unter­schrift (Signatur) der Instanz, welche die Identität des Zerti­fikatinhabers beglaubigt.
In unserer Umge­bung wurde (bis Anfang 2017) das Zertifikat nach Prüfung durch das Rechenzentrum durch die Zertifizierungsstelle UniBwM CA-G01 erteilt.
Wer dieser Instanz, hier die im Auftrag des RZ handelnde Zertifizierungsstelle, Ver­trauen schenkt, traut auch der Identität der Inhaber aller von dieser Instanz unter­schrie­benen Zerti­fikate. Somit kann eine Ver­trauens­kette bzw. Hierarchie aufgebaut werden. Deren Endpunkte werden Wurzelzertifikate genannt.
Das Zerti­fikat von "UniBwm CA-G01" basiert auf dem Zerti­fikat von "DFN-Verein PCA Global - G01" und dies wiederum auf dem von "Deutsche Telekom Root CA 2".
Diese Wurzelzertifikate sind in allen grösseren Browsern vorinstalliert, so dass beim Surfen keine nutzerseitigen Aktionen notwendig sind.

Gültigkeitsdauer

Alle Zerti­fikate sind nur einen beschränkten Zeitraum lang gültig. Dieser steht im Zerti­fikat. Wenn die Not­wendig­keit besteht (beispielsweise wenn der geheime Schlüssel bekannt wird), kann die unter­schrei­bende Instanz einem Zerti­fikat, das sie aus­ge­stellt hat, das Ver­trauen vorzeitg ent­ziehen. In Form einer Sperr­liste gibt diese Instanz die Zerti­fikate allen bekannt, denen sie das Vertrauen entzogen hat. Ferner kann auch ein Server-Dienst diese Infor­mation durch das Online Certificate Status Protocol (OCSP) bekannt geben, so dass sie immer aktuell verfügbar ist.

Einsatz von persönlichen Zerti­fikaten

Der Inhaber eines persönlichen X.509 Zerti­fikats kann damit Nach­richten und Dateien digital unter­schreiben, so dass der Empfänger fest­stel­len kann, ob die digi­tal unter­schrie­bene Nach­richt oder Datei wirk­lich von dem In­haber des Zerti­fikat unter­schrieben wurde. Ferner kann der Empfänger fest­stellen, ob der Inhalt der Nach­richt oder die Datei ver­ändert oder ver­fälscht wurde.

Der Inhaber eines X.509 Zerti­fikats kann auch Nach­richten und Dateien ver­schlüs­seln und an einen Empfänger, der selbst ein eigenes X.509 Zerti­fikat be­sitzt, senden, ohne dass Aussen­ste­hende den Inhalt lesen können.

Veraltetes Wurzel­zerti­fikat des RZ

Bis 2007 hat das Rechen­zentrum eigene selfsigned Zer­ti­fi­kate aus­ge­stellt. Diese Zer­ti­fikate ver­fielen im Herbst 2008.
Jetzt ist die UniBwM Teil der DFN-PKI. Neue Zerti­fikate wer­den nur noch inner­halb der DFN-PKI erzeugt.