Digitale Zertifikate und Zertifizierungsstellen (CAs)
Digitale Zertifikate werden von anerkannten Parteien, den sogenannten Zertifizierungsstellen (Certificate Authorities, CAs), ausgegeben, um die Identität einer Entität wie beispielsweise eines Clients oder Servers zu bestätigen.
Digitale Zertifikate dienen zwei Zwecken: Sie bestätigen die Identität des Eigners und machen den öffentlichen Schlüssel des Eigners verfügbar. Jedes digitale Zertifikat wird mit einem Ablaufdatum ausgestellt. Nach diesem Datum wird von der Zertifizierungsstelle (CA) keine Garantie mehr für das Zertifikat übernommen.
Um ein digitales Zertifikat abzurufen, senden Sie eine Anforderung an die gewünschte CA wie beispielsweise Verisign oder RSA. Die Anforderung muss Ihren definierten Namen, Ihren öffentlichen Schlüssel und Ihre Signatur enthalten. Ein definierter Name (DN) ist eine eindeutige Kennung für jeden Benutzer oder Host, für den Sie ein Zertifikat beantragen. Die CA prüft Ihre Signatur anhand Ihres öffentlichen Schlüssels und führt eine gewisse Überprüfung Ihrer Identität durch, wobei der Grad dieser Überprüfung von der jeweiligen CA abhängt. Im Anschluss daran erhalten Sie von der CA ein unterzeichnetes digitales Zertifikat, das Ihren definierten Namen, Ihren öffentlichen Schlüssel sowie den definierten Namen und die Signatur der CA enthält. Dieses unterzeichnete Zertifikat speichern Sie in Ihrer Schlüsseldatenbank.
- Er prüft Ihre digitale Signatur anhand Ihres mit dem Zertifikat gesendeten öffentlichen Schlüssels.
- Er überprüft, ob die CA, von der Ihr Zertifikat stammt, legitimiert und vertrauenswürdig ist. Hierfür benötigt der Empfänger den öffentlichen Schlüssel der CA. Es kann sein, dass der Empfänger in seiner Schlüsseldatenbank bereits über eine garantierte Kopie des öffentlichen Schlüssels der CA verfügt. Ist dies nicht der Fall, muss der Empfänger ein zusätzliches digitales Zertifikat beschaffen, um den öffentlichen Schlüssel der CA abzurufen. Dieses Zertifikat wiederum hängt eventuell vom digitalen Zertifikat einer anderen CA ab. Unter Umständen gibt es eine Hierarchie von Zertifikaten, die von mehreren CAs ausgestellt wurden und jeweils von der Gültigkeit des nächsten Zertifikats abhängen. Letztlich benötigt der Empfänger jedoch den öffentlichen Schlüssel der Root-CA. Die Root-CA ist die CA, die in der Hierarchie an erster Stelle steht. Um auf die Gültigkeit des digitalen Zertifikats der Root-CA vertrauen zu können, muss der Benutzer des öffentlichen Schlüssels das betreffende digitale Zertifikat in einer sicheren Umgebung empfangen, beispielsweise über ein Download von einem authentifizierten Server, mithilfe einer vorinstallierten Software von einer zuverlässigen Quelle oder auf einer sicher bereitgestellten Diskette.
Viele Anwendungen, die ein digitales Zertifikat an einen Empfänger senden, übertragen nicht nur ihr eigenes Zertifikat, sondern auch alle digitalen CA-Zertifikate, die erforderlich sind, um die Zertifikatshierarchie bis zum Zertifikat der Root-CA prüfen zu können.
Damit einem digitalen Zertifikat vollständig vertraut werden kann, muss der Eigner des digitalen Zertifikats seinen privaten Schlüssel sorgfältig geschützt haben, beispielsweise durch Verschlüsselung auf der Festplatte seines Computers. Wurde die Sicherheit seines privaten Schlüssels beeinträchtigt, könnte dieser Schlüssel für betrügerische Machenschaften missbraucht werden.
Zu Testzwecken können Sie ein selbst signiertes digitales Zertifikat verwenden. Solch ein selbst signiertes digitales Zertifikat enthält Ihren definierten Namen, Ihren öffentlichen Schlüssel und Ihre Signatur.