Digitale Zertifikate

Publiziert am 3. August 2012 von lkl-it
  • Ein digitales Zertifikat bindet einen öffentlichen Schlüssel an eine Entität.
  • Neben weiteren Informationen zur Entität enthält es auch Informationen über die
    Certification Authority (CA), die das Zertifikat ausgestellt und beglaubigt hat.
  • Der zugehörige private Schlüssel befindet sich bei der Entität selbst, z.B. in einem
    Benutzerprofil oder auf einem Hardwaregerät (Token, Smartcard etc.).

Die ITU-T (International Telecommunication Union) hat mit X.509 einen de-facto
Standard für den Aufbau von Zertifikaten geschaffen.
Seit 1996 existiert die aktuelle Version 3, die folgende Felder spezifiziert:

 X.509v3 Extensions
In X.509v3 gibt es mit Extensions diverse zusätzliche Zertifikaterweiterungen, die
ein Critical Flag gesetzt haben können.

  • Ist das Flag für eine Erweiterung gesetzt und die Anwendung,  für die das Zertifikat bestimmt ist, kann nicht mit der Extension umgehen oder erwartet einen anderen Wert für die Extension, so wird das Zertifikat nicht verwendet.
  • Ist das Flag nicht gesetzt, ist die Verwendung der Extension durch die Anwendung optional.

siehe auch Blogeintrag Zertifikatanalyse / Zertifikate im Detail

sowie

Blogeintrag Certificate Lifecycle Management

 Dateiformate für Digitale Zertifikate
Folgende Dateiformate werden unterschieden:

  •  .cer bzw. crt oder .der: Enthält das Zertifikat in binärer Form – in der Regel in DER Codierung – aber auch eine  BASE-64 Codierung ist möglich.
  •  .pfx bzw. .p12:  Meist kennwortgeschützter Container, der neben dem Zertifikat auch den zugehörigen privaten Schlüssel enthält. Dies sind die  einzigen von Windows unterstützten Formate zum Export privater Schlüssel. Das Format ist im PKCS#12 (Public Key Cryptography Standards) Standard definiert.
  •  .PEM: Kann Zertifikate im BASE-64 Codierung und/oder private Schlüssel enthalten – dies ist das Standardformat von OpenSSL.
  •  .p7b bzw. .p7c: Bezeichnet eine signierte Datenstruktur die alle Zertifikate einer Zertifikatskette oder eine CRL enthalten kann. Das Format ist im PKCS#7 Standard definiert.
  •  .sst: Microsoft proprietäres legacy Speicherformat.
  • .pvk: Microsoft porprietäres legacy Speicherformat für private Schlüssel. Wird z.B. in Windows CE 5.0 verwendet und kann ab einer Windows 2003 PKI nicht mehr nativ ausgestellt werden.

Literatur:

Vgl. Zacker, Craig: “Planning and Maintaining a Microsoft Windows 2003 Network Infrastructure “, S. 11-4.
Planning and Maintaining a Microsoft Windows 2003 Network Infrastructure
Vgl. RSA Security Inc.: „The X.509 Standards”. (abgerufen am 9. September 2011).
http://www.rsa.com/products/bsafe/documentation/certj212html/certj/dev_guide/group__CERTJ__STDS__X509.html
Vgl. Komar, Brian: „Windows Server 2008 PKI and Certificate Security“, S.22-24.
Windows Server 2008 Certificate Security
Vgl. Carius, Frank: „OpenSSL“.(abgerufen am 10.September 2011).
http://www.msxfaq.de/signcrypt/openssl.htm

Dieser Beitrag wurde unter PKI: Komponenten und Prozesse, PKI: Kryptografische Grundlagen veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.