Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. PKI

Übersicht – Digitale Zertifikate

Geschrieben vonManimit Haldar 7 Minuten
Active Directory Certificate Services
Inhaltsverzeichnis

Übersicht

Public-Key-Infrastruktur (PKI) basiert auf den Prinzipien der asymmetrischen Geheimschrift: Nachrichten werden mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, und der Empfänger entschlüsselt die Nachricht mit seinem privaten Schlüssel. Doch woher wissen wir, ob der verwendete öffentliche Schlüssel tatsächlich dem beabsichtigten Empfänger gehört? Was ist, wenn der öffentliche Schlüssel eine Fälschung ist und einem Betrüger gehört? Ein digitales Zertifikat hilft festzustellen, ob ein öffentlicher Schlüssel tatsächlich dem angeblichen Besitzer gehört.

Genau wie ein physischer Ausweis, beispielsweise ein Führerschein oder ein Reisepass, enthält ein digitales Zertifikat Informationen über eine Person sowie deren öffentlichen Schlüssel und hilft anderen, die Identität dieser Person zu überprüfen. Das Zertifikat enthält außerdem ein oder mehrere digitale Signaturen, die darauf hinweisen, dass die Informationen im Zertifikat von einer anderen vertrauenswürdigen Person oder Stelle beglaubigt wurden, die als Zertifizierungsstelle. Wir werden in einem späteren Artikel mehr über Zertifizierungsstellen berichten.

Arten digitaler Zertifikate

Die wichtigsten Arten digitaler Zertifikate, die heute verwendet werden, sind:

  1. Serverzertifikate: Diese implementieren die SSL/TLS (Secure Sockets Layer / Transport Layer Security) Standards, werden auf dem Server installiert und haben den Boom im E-Commerce ermöglicht, indem sie den Kommunikationskanal zwischen Client und Server sichern. Es gibt drei Arten von SSL-Zertifikaten:
    1. Domain Validation (DV)-Zertifikate: TDiese Zertifikate bestätigen lediglich, dass der Zertifikatsinhaber zur Nutzung des Domänennamens berechtigt ist; sie zertifizieren jedoch nicht die Identität des Inhabers. Da sie nur eine grundlegende Validierung erfordern, sind sie kostengünstig und können direkt beim Zertifikatsanbieter bezogen werden. DV-Zertifikate werden typischerweise für einfache Websites und Webanwendungen verwendet.
    2. Organization Validation (OV)-Zertifikate: Diese bieten zusätzliche Sicherheiten hinsichtlich des Zertifikatsinhabers und umfassen Validierungen hinsichtlich der Organisation, des Domänenbesitzes und der Berechtigung des Antragstellers, das Zertifikat zu beantragen. OV-Zertifikate sind eine gute Option für E-Commerce-Websites.
    3. Extended Validation (EV)-Zertifikate: Diese bieten das höchste Maß an Verschlüsselung und durchlaufen einen strengen Authentifizierungsprozess, bevor das Zertifikat ausgestellt wird. EV-Zertifikate werden typischerweise von Banken und Finanzinstituten sowie in E-Commerce-Anwendungen verwendet.
  2. Organisationszertifikate: Diese werden typischerweise von Unternehmen verwendet und helfen dabei, Mitarbeiter für sichere Webtransaktionen und E-Mail-Kommunikation zu identifizieren.
  3. Kunden-/Personenzertifikate: Dabei handelt es sich um „digitale IDs“, die die Identität einer Person bestätigen und den Zugriff auf Informationen und Daten kontrollieren. Zertifikatbasierte Authentifizierung ist im Allgemeinen herkömmlichen Authentifizierungsmechanismen mit Benutzer-ID und Passwort weit überlegen. Persönliche Zertifikate können auch zum Signieren von Dokumenten verwendet werden. Diese Zertifikate sind auch im Business-to-Business-Bereich (B2B) hilfreich – beispielsweise, um Lieferanten und Partnern den Zugriff auf und die Aktualisierung bestimmter Informationen wie Lieferdaten oder Lagerverfügbarkeit zu ermöglichen.
  4. Code-Signing-Zertifikate: Diese ermöglichen es, Software digital zu signieren, bevor sie – typischerweise über das Internet – zum Download bereitgestellt wird. Mithilfe dieser Zertifikate können Empfänger beim Herunterladen und Installieren von Software überprüfen, ob der Code aus einer authentischen Quelle stammt und nicht, beispielsweise durch das Einfügen von Schadsoftware, verändert wurde, bevor er den Empfänger erreicht.

Der X.509-Standard

Die meisten digitalen Zertifikate basieren heute auf dem X.509-Standard der Internationalen Fernmeldeunion (ITU). X.509 spezifiziert ein Zertifikatformat mit einem Standardsatz von Feldern, wie unten angegeben.

  • Versionsnummer: Gibt an, auf welcher Version des X.509-Standards das Zertifikat basiert
  • Öffentlicher Schlüssel: Dies ist der öffentliche Schlüssel des Zertifikatsinhabers
  • Ordnungsnummer: Dies ist eine eindeutige Nummer zur Identifizierung des Zertifikats und zur Unterscheidung von anderen Zertifikaten derselben Stelle.
  • Eindeutige Kennung des Zertifikatsinhabers: Dieser wird auch als Distinguished Name (DN) bezeichnet und dient der eindeutigen Identifizierung des Zertifikatsinhabers im Internet. Der DN besteht aus Feldern wie Common Name (CN), E-Mail, Organisationseinheit (OU), Organisation (O) und Land (C).
  • Gültigkeitszeitraum: Hierzu gehören das Datum/die Uhrzeit der Zertifikatsausstellung sowie das Ablaufdatum/die Ablaufzeit.
  • Eindeutiger Name des Ausstellers: Dies ist der eindeutige Name der Entität, die das Zertifikat ausgestellt hat. In der Regel handelt es sich dabei um eine Zertifizierungsstelle (CA). Die Verwendung des Zertifikats setzt voraus, dass Sie der Zertifizierungsstelle vertrauen, die das Zertifikat ausgestellt hat.
  • Digitale Signatur des Ausstellers: Dies ist die digitale Signatur der CA, die mit dem privaten Schlüssel der CA generiert wird und über den öffentlichen Schlüssel der CA überprüft werden kann.
  • Signaturalgorithmus: Dies identifiziert den Algorithmus, den die Zertifizierungsstelle zum Signieren des Zertifikats verwendet. Ein Beispiel für einen gängigen Algorithmus zum Signieren von Zertifikaten ist der Secure Hash Algorithm (SHA) mit einer Hash-Länge von 256, auch bekannt als SHA256.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Zertifikatserweiterungen

Version 3 des X.509-Standards eingeführt Zertifikatserweiterungen, Hiermit können über die Standardfelder hinaus zusätzliche Informationen zum Zertifikatsinhaber bereitgestellt werden. Beispiele hierfür sind alternative Betreffnamen oder Angaben zum Verwendungszweck des Zertifikats, beispielsweise zum Signieren eines digitalen Objekts. Erweiterungen werden als kritisch und nicht kritisch eingestuft und legen fest, wie die zusätzlichen Informationen vom Empfänger verarbeitet werden sollen.

Zertifikatsschlüssel

Wie bereits in diesem Artikel beschrieben, basiert PKI auf asymmetrischer Kryptografie, die ein öffentliches und ein privates Schlüsselpaar verwendet. Wichtig ist, dass dieses Schlüsselpaar vom Antragsteller und nicht von der ausstellenden Behörde (z. B. einer Zertifizierungsstelle) erstellt wird. Antragsteller beantragen ein Zertifikat, indem sie der Zertifizierungsstelle ihren öffentlichen Schlüssel mitteilen. Die Zertifizierungsstelle fügt diesen öffentlichen Schlüssel in das Zertifikat ein, das sie dem Antragsteller ausstellt. Zertifikatsinhaber bestätigen ihre Identität, indem sie nachweisen, dass sie den privaten Schlüssel besitzen, der dem öffentlichen Schlüssel im Zertifikat entspricht.


Schlüsselschutz und -verwaltung

Der größte Schwachpunkt von PKI ist der Schutz privater Schlüssel. Werden private Schlüssel kompromittiert, ist das gesamte System gefährdet. Betriebssysteme bieten einige grundlegende Funktionen zum Schlüsselschutz, beispielsweise die Data Protection API (DPAPI) in Windows. Für mehr Sicherheit empfiehlt sich jedoch der Einsatz dedizierter Hardware-Appliances wie: Hardware-Sicherheitsmodule (HSMs) und Vertrauenswürdige Plattformmodule (TPMs).

Solche dedizierten hardwarebasierten Schlüsselschutzlösungen sind eine gute Option für große Organisationen, die eine große Anzahl von Schlüsseln verwalten. Für kleinere Organisationen können HSMs und TPMs jedoch eine teure Option sein. Alternativen wie virtuelle Appliances und Cloud-Schlüsselverwaltungslösungen könnten daher besser geeignet sein.

Zertifikatspeicher

Ein Zertifikatspeicher ist ein Repository, in dem der Zertifikatsinhaber digitale Zertifikate speichert. Dies ist normalerweise ein spezieller Speicherort im Dateisystem des Betriebssystems. Das Windows-Betriebssystem bietet beispielsweise die folgenden Arten von Zertifikatspeichern:

  • Zertifikatspeicher des lokalen Computers: Dies ist lokal für den Computer und global für alle Benutzer. Es befindet sich in der Systemregistrierung unter HKEY_LOCAL_MACHINE, Beispiele sind HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificates und HKEY_LOCAL_MACHINESOFTWAREMicrosoftEnterpriseCertificates
  • Aktueller Benutzerzertifikatsspeicher: Dies ist lokal für ein Benutzerkonto auf dem Computer und befindet sich in der Systemregistrierung unter HKEY_CURRENT_USER, ein Beispiel ist HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificates
  • Vertrauenswürdiger Stamm-CA-Zertifikatspeicher: Dieses Verzeichnis enthält die Stammzertifikate aller CAs, denen das Windows-Betriebssystem vertraut. Administratoren können den Standardsatz vertrauenswürdiger CAs ändern und das Stammzertifikat ihrer eigenen privaten CAs manuell installieren. CA.
  • Zertifikatsspeicher vertrauenswürdiger Herausgeber: Dieses enthält Informationen über Codesignatur Zertifikate vertrauenswürdiger Herausgeber, die auf einem Computer installiert sind. Administratoren können den Standardsatz vertrauenswürdiger Herausgeber ändern und Codesignaturzertifikate manuell im Zertifikatspeicher vertrauenswürdiger Herausgeber installieren.

Entdecken Sie unsere

Verwandte Blogs

Cloud-PKI – ohne Kontrollverlust

Übernehmen Sie die Kontrolle über Ihre Cloud-PKI, ohne Kompromisse bei der Sicherheit einzugehen.

19. Juni 2026
Zertifikatslebenszyklusmanagement

Einschränkungen des AWS Certificate Manager: Wo ACM für Enterprise-PKI an seine Grenzen stößt.

18. Juni 2026
PKI

Windows Server PKI & ADCS Hotfix-Referenzhandbuch

3. Juni 2026

Entdecken

Weitere Themen