Digitale X.509-Zertifizierung
Eine primäre Aufgabe eines digitalen Zertifikats besteht darin, den Zugriff auf den öffentlichen Schlüssel des Antragstellers zu ermöglichen. Das Zertifikat bestätigt auch, dass der öffentliche Schlüssel des Zertifikats zum Antragsteller des Zertifikats gehört. Beispielsweise kann eine Zertifizierungsstelle eine spezielle Nachricht (die Zertifikatinformationen) digital signieren, die den Namen eines Benutzers, z. B. "Alice", und ihren öffentlichen Schlüssel enthält. Dies muss so erfolgen, dass jeder überprüfen kann, ob das Zertifikat von niemand anderem als der Zertifizierungsstelle ausgestellt und signiert wurde. Wenn die Zertifizierungsstelle vertrauenswürdig ist und überprüft werden kann, ob das Alice-Zertifikat von dieser Zertifizierungsstelle ausgestellt wurde, kann jeder Empfänger von Alices Zertifikat aus diesem Zertifikat dem öffentlichen Schlüssel von Alice vertrauen.
Die typische Implementierung der digitalen Zertifizierung umfasst einen Prozess zum Signieren des Zertifikats.
Der Prozess läuft wie folgt ab:
- Alice sendet eine signierte Zertifikatanforderung mit ihrem Namen, ihrem öffentlichen Schlüssel und möglicherweise einigen zusätzlichen Informationen an eine Zertifizierungsstelle.
- Die Zertifizierungsstelle erstellt eine Nachricht ( m) aus Alices Anforderung. Die Zertifizierungsstelle signiert die Nachricht mit ihrem privaten Schlüssel und erstellt eine separate Signaturnachricht, sig. Die Zertifizierungsstelle gibt die Nachricht m und die Signatur sig an Alice zurück. Zusammen bilden m und sig Alices Zertifikat.
- Alice sendet beide Teile ihres Zertifikats an Bob, um ihm Zugriff auf ihren öffentlichen Schlüssel zu geben.
- Bob überprüft die Signatur mithilfe des öffentlichen Schlüssels der Zertifizierungsstelle. Wenn sich die Signatur als gültig erweist, akzeptiert er den öffentlichen Schlüssel im Zertifikat als öffentlichen Schlüssel von Alice.
Wie bei jeder digitalen Signatur kann jeder Empfänger mit Zugriff auf den öffentlichen Schlüssel der Zertifizierungsstelle bestimmen, ob eine bestimmte Zertifizierungsstelle das Zertifikat signiert hat. Dieser Prozess erfordert keinen Zugriff auf geheime Informationen. Das soeben vorgestellte Szenario geht davon aus, dass Bob Zugriff auf den öffentlichen Schlüssel der Zertifizierungsstelle hat. Bob hätte Zugriff auf diesen Schlüssel, wenn er über eine Kopie des Zertifikats der Zertifizierungsstelle verfügt, das diesen öffentlichen Schlüssel enthält.
Digitale X.509-Zertifikate enthalten nicht nur den Namen und den öffentlichen Schlüssel eines Benutzers, sondern auch andere Informationen über den Benutzer. Diese Zertifikate sind mehr als Schritte in einer digitalen Vertrauenshierarchie. Sie ermöglichen es der Zertifizierungsstelle, dem Empfänger eines Zertifikats eine Möglichkeit zu geben, nicht nur dem öffentlichen Schlüssel des Antragstellers des Zertifikats, sondern auch anderen Informationen über den Antragsteller des Zertifikats zu vertrauen. Diese anderen Informationen können unter anderem eine E-Mail-Adresse, eine Autorisierung zum Signieren von Dokumenten eines bestimmten Werts oder die Autorisierung, eine Zertifizierungsstelle zu werden und andere Zertifikate zu signieren, umfassen.
X.509-Zertifikate und viele andere Zertifikate haben eine gültige Zeitdauer. Ein Zertifikat kann ablaufen und ist nicht mehr gültig. Eine Zertifizierungsstelle kann ein Zertifikat aus verschiedenen Gründen widerrufen. Um Sperrungen zu behandeln, verwaltet und verteilt eine Zertifizierungsstelle eine Liste widerrufener Zertifikate, die als Zertifikatsperrliste (Certificate Revocation List , CRL) bezeichnet werden. Netzwerkbenutzer greifen auf die Zertifikatsperrliste zu, um die Gültigkeit eines Zertifikats zu ermitteln.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für