Digitale Zertifikate

Mithilfe von Zertifikaten können Benutzer authentifiziert werden. Die Authentifizierung über Dritte basiert auf der Verwendung digitaler Zertifikate, so dass also nicht jeder Teilnehmer in einer Anwendung jeden Benutzer authentifizieren muss.

Ein digitales Zertifikat entspricht einer elektronischen ID-Karte. Das Zertifikat wird zu folgenden Zwecken eingesetzt:

Zertifikate werden von vertrauenswürdigen Stellen, die als Zertifizierungsstellen (CAs; certificate authorities) bezeichnet werden, ausgegeben. Bei diesen CAs kann es sich je nach Anwendungsanforderungen um Handelsunternehmen oder lokale Einrichtungen handeln. Die Zertifizierungsstelle besitzt in jedem Fall das Vertrauen, vor der Ausstellung von Zertifikaten eine adäquate Benutzerauthentifizierung durchzuführen. Die Zertifikate werden von der CA mit digitaler Signatur ausgestellt. Wenn ein Benutzer ein Zertifikat vorlegt, wird dieses vom Empfänger anhand der digitalen Signatur ausgewertet. Kann das Zertifikat mit der digitalen Signatur validiert werden, wird es als intakt und authentisch anerkannt. Die Teilnehmer einer Anwendung müssen somit lediglich Zertifikate auswerten, es ist keine Authentifizierung von Benutzern nötig. Wenn ein Benutzer ein gültiges Zertifikat vorweisen kann, ist dadurch belegt, dass er von der Zertifizierungsstelle authentifiziert wurde. Der Deskriptor für vertrauenswürdige Dritte gibt an, dass sich das System auf die Vertrauenswürdigkeit der Zertifizierungsstellen verlässt.

Inhalt eines digitalen Zertifikats

Ein Zertifikat umfasst eine Reihe von Einzelinformationen, darunter Angaben zum Eigner des Zertifikats und zur zuständigen Zertifizierungsstelle. Insbesondere umfasst ein Zertifikat folgende Informationen:
  • Den definierten Namen des Eigners. Es handelt sich hierbei um eine eindeutige Kennung, einen vollständig qualifizierten Namen, der nicht nur den allgemeinen Namen des Eigners sondern auch die Organisation, der dieser angehört, sowie weitere unterscheidende Angaben umfasst.
  • Den öffentlichen Schlüssel des Eigners.
  • Das Datum, an dem das Zertifikat ausgestellt wurde.
  • Das Datum, an dem das Zertifikat abläuft.
  • Den eindeutigen Namen der ausstellenden Zertifizierungsstelle.
  • Die digitale Signatur der ausstellenden Zertifizierungsstelle. Mit der Nachrichtenauszugsfunktion wird anhand aller zuvor aufgeführten Felder eine Signatur erstellt.

Die zentrale Idee eines Zertifikats besteht darin, dass eine Zertifizierungsstelle den öffentlichen Schlüssel eines Eigners nimmt, diesen mit dem eigenen privaten Schlüssel signiert und diese Informationen dem Eigner als Zertifikat zurückgibt. Wenn der Eigner das Zertifikat an Dritte weitergibt, unterzeichnet er es mit seinem privaten Schlüssel. Der Empfänger kann das Zertifikat, in dem die CA-Signatur enthalten ist, mit dem öffentlichen Schlüssel des Eigners extrahieren. Durch Anwendung des öffentlichen Schlüssels und der Signatur der Zertifizierungsstelle auf das extrahierte Zertifikat kann der Empfänger die CA-Signatur auswerten. Ist sie gültig, wird der zum Extrahieren des Zertifikats verwendete öffentliche Schlüssel als korrekt angesehen. Die Signatur des Eigners wird geprüft, und bei erfolgreicher Prüfung wird der Eigner erfolgreich gegenüber dem Empfänger authentifiziert.

Die weiteren Informationen in den Zertifikaten erleichtern einer Anwendung die Entscheidung, ob das Zertifikat berücksichtigt werden soll. Anhand des Ablaufdatums kann die Anwendung feststellen, ob das Zertifikat noch gültig ist. Mit dem Namen der ausstellenden Zertifizierungsstelle kann die Anwendung prüfen, ob die CA als vertrauenswürdig erachtet wird.

In einem Prozess zur Verwendung von Zertifikaten müssen das persönliche Zertifikat, das Zertifikat mit dem öffentlichen Schlüssel und das Zertifikat der CA, die das Zertifikat unterzeichnet hat, das so genannte Unterzeichnerzertifikat, bereitgestellt werden. Falls Anerkennungsketten eingerichtet wurden, können mehrere Unterzeichnerzertifikate beteiligt sein.

Zertifikate anfordern

Um ein Zertifikat zu erhalten, senden Sie eine entsprechende Anforderung an die Zertifizierungsstelle. Die Zertifikatsanforderung umfasst folgende Informationen:
  • Den eindeutigen Namen des Eigners bzw. des Benutzers, für den ein Zertifikat angefordert wird.
  • Den öffentlichen Schlüssel des Eigners.
  • Die digitale Signatur des Eigners.

Mit der Nachrichtenauszugsfunktion wird anhand aller zuvor aufgeführten Felder eine Signatur erstellt.

Die CA prüft die Signatur anhand des öffentlichen Schlüssels in der Anforderung und stellt damit sicher, dass es sich um eine korrekte und authentische Anforderung handelt. Anschließend authentifiziert die CA den Eigner. Worin die Authentifizierung genau besteht, hängt von einer Vorabvereinbarung zwischen der CA und der Antrag stellenden Organisation ab. Im Falle einer erfolgreichen Authentifizierung des Eigners in der Anfrage stellt die CA für den betreffenden Eigner ein Zertifikat aus.

Verwendung von Zertifikaten: Kette vertrauenswürdiger und selbst signierter Zertifikate

Für die Prüfung der digitalen Signatur eines Zertifikats wird der öffentliche Schlüssel der ausstellenden CA benötigt. Da öffentliche Schlüssel in Zertifikaten verteilt werden, benötigen Sie ein vom Aussteller unterzeichnetes Zertifikat für die ausstellende CA. CAs können andere CAs zertifizieren, so dass eine Kette von CAs Zertifikate für weitere CAs ausstellen kann. Von allen diesen CAs benötigen Sie die öffentlichen Schlüssel. Unter Umständen gelangen Sie zu einer Zertifizierungsstelle der ersten Ebene, die sich selbst ein selbst signiertes Zertifikat ausstellt. Zur Auswertung eines Benutzerzertifikats benötigen Sie Zertifikate für alle Beteiligten bis hin zu dieser Zertifizierungsstelle der ersten Ebene. Sie verfügen dann über die öffentlichen Schlüssel, die Sie zur Validierung der einzelnen Zertifikate einschließlich des Benutzerzertifikats benötigen.

Ein selbst signiertes Zertifikat enthält den öffentlichen Schlüssel des Ausstellers und ist mit dem privaten Schlüssel signiert. Die digitale Signatur wird wie jede andere validiert, und wenn das Zertifikat gültig ist, wird mithilfe des darin enthaltenen öffentlichen Schlüssels die Gültigkeit anderer von der Zertifizierungsstelle ausgestellter Zertifikate geprüft. Ein selbst signiertes Zertifikat kann allerdings von jedem generiert werden. So können Sie vermutlich zu Testzwecken vor der Installation von Produktionszertifikaten selbst signierte Zertifikate generieren. Wenn ein selbst signiertes Zertifikat einen gültigen öffentlichen Schlüssel enthält, bedeutet dies nicht zwangsläufig, dass das Zertifikat von einer anerkannten Zertifizierungsstelle ausgestellt wurde. Um sicherzustellen, dass selbst signierte Zertifikate von anerkannten Zertifizierungsstellen generiert wurden, müssen diese Zertifikate auf sicherem Wege verteilt, also beispielsweise persönlich auf Disketten überbracht, von sicheren Sites heruntergeladen werden usw.

Anwendungen, die Zertifikate verwenden, speichern diese in einer Schlüsselspeicherdatei. In dieser Datei sind in der Regel die erforderlichen persönlichen Zertifikate, die zugehörigen Signaturzertifikate sowie der entsprechende private Schlüssel enthalten. Mit dem privaten Schlüssel kann die Anwendung digitale Signaturen erstellen. In den Schlüsselspeicherdateien von Servern sind immer persönliche Zertifikate enthalten. Für einen Client ist nur dann ein persönliches Zertifikat erforderlich, wenn gegenseitige Authentifizierung aktiviert ist und der Client sich gegenüber dem Server authentifizieren muss.

Für die Authentifizierung eines Clients gegenüber einem Server enthält eine Server-Schlüsselspeicherdatei den privaten Schlüssel und das Zertifikat des Servers sowie die Zertifikate der zuständigen Zertifizierungsstelle. Die Truststore-Datei eines Clients muss die Unterzeichnerzertifikate der Zertifizierungsstellen für die einzelnen Server enthalten, gegenüber denen sich der Client authentifizieren muss.

Falls eine gegenseitige Authentifizierung erforderlich ist, muss die Schlüsselspeicherdatei für den Client den privaten Schlüssel und das Zertifikat des Clients enthalten. Die Truststore-Datei des Servers muss eine Kopie des Zertifikats der Zertifizierungsstelle für den Client enthalten.

Zugehörige Konzepte
Verschlüsselung mit öffentlichem Schlüssel
Digitale Signaturen
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009. Alle Rechte vorbehalten.
Letzte Aktualisierung : 2009-02-17 15:49:32

ac55140_