Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Education Center
    2. Public-Key-Infrastruktur (PKI)

Was ist ein Objektbezeichner (OID) in PKI? Wie erhält man einen OID?

Geschrieben vonDivyansh Dwivedi 9 Minuten
Was ist eine Objektkennung (OID) in einer PKI? Wie erhält man eine OID?
Inhaltsverzeichnis

Objektkennungen (OIDs) sind vergleichbar mit dem Domänennamensraum im Internet. Organisationen, die eine Kennung benötigen, können eine Stamm-OID zugewiesen bekommen, sodass sie ihre eigenen Unter-OIDs erstellen können, ähnlich wie sie Subdomänen erstellen können. Es gibt bereits einen großen und standardisierten Satz von OIDs.

Was bedeutet Object Identifier (OID)?

Objektkennungen (OIDs) sind global eindeutige Kennungen, die sicherstellen, dass die von verschiedenen Organisationen erstellten Kennungen nicht kollidieren. Die Identifizierung von Objekten, Prozessen und Protokollen erfolgt hierarchisch und standardisiert. Jedem CPS kann eine OID zugewiesen werden (Zertifikat Praxiserklärung). Die OID ist eine Kennung, die an das CPS oder, wenn mehrere Richtlinien definiert sind, an jede einzelne gebunden ist. Zertifizierungsstellen Zertifikatsrichtlinie. Für allgemeine Zertifizierungsstellen können Sie einen universellen Objektbezeichner mit dem Wert 2.5.29.32.0 verwenden. Dieser Bezeichner steht für „Alle Ausstellungsrichtlinien“ und ist eine Art Platzhalterrichtlinie. Jede Richtlinie wird bei der Validierung der Zertifikatskette mit diesem Bezeichner abgeglichen.

Hierarchie einer OID

Eine OID ist hierarchisch aufgebaut und ähnelt einem Baum. Jede Ebene des Baums wird durch eine Folge von Ganzzahlen dargestellt, die durch Punkte (.). Ein Beispiel für eine typische OID ist 1.2.840.113549, wir werden dies später entschlüsseln. Jedes Segment (die Zahlen zwischen den Punkten) stellt einen Knoten in der Hierarchie dar, die formal durch den OID-Standard der ITU, X.660, definiert ist. Root-Arcs leiten die Hierarchie des Baums, gefolgt von Sub-Arcs, die insgesamt ein flexibles Identifikationssystem bilden. Hier ist die Darstellung einer OID:

• Wurzelbögen: Oberste Ebene der Hierarchie oder, wie wir sagen können, die erste Ziffer in einer OID.

  1. ITU-T (0)
  2. ISO (1)
  3. Gemeinsame ISO/ITU-T (2)

Unterbögen: Repräsentiert Organisationen, Länder oder Zwecke.

Dekodieren einer OID

Lassen Sie uns dies anhand eines Beispiels verstehen: 1.2.840.113549. Jeder Punkt stellt eine Ebene dar und hat hier seine Bedeutung.

  • 1 – ISO (Internationale Organisation für Normung)
  • 2 – ISO-Mitgliedsorganisationen
  • 840 – Vereinigte Staaten (ANSI – American National Standards Institute)
  • 113549 – Bezieht sich auf RSA Data Security, Inc. und die PKCS-Reihe (Public Key Cryptography Standards).

Was ist die PEN-Kennung?

Private Enterprise Numbers werden hauptsächlich in Object Identifiers (OIDs) verwendet, die reserviert sind für PrivatunternehmenZiel ist es, Organisationen die Erstellung eines eigenen Namespaces innerhalb der OID-Struktur für den internen Gebrauch zu ermöglichen. Objektkennungen werden von der IANA kontrolliert. Sie müssen eine Private Enterprise Number (PEN) oder einen OID-Arc unter dem Namespace 1.3.6.1.4.1 registrieren. Hier ist die PEN-Registrierungsseite: https://pen.iana.org/pen/PenApplication.page

Nach dem Erwerb sieht Ihr OID-Namespace wie folgt aus: 1.3.6.1.4.1.{PENnumber}. Sie können Zertifikatsrichtlinien unter Ihrem privaten Namespace zuweisen, zum Beispiel:

  • 1.3.6.1.4.1.{PENnumber}.1.1 – Richtlinie zur Ausgabe von Smartcards
  • 1.3.6.1.4.1.{PENnumber}.1.2 – Richtlinie zur Ausstellung digitaler Signaturzertifikate
  • 1.3.6.1.4.1.{PENnumber}.1.3 – Verschlüsselungszertifikat mit Richtlinie zur Schlüsselarchivierung

Einige Beispiele für PEN-OIDs sind 1.3.6.1.4.1.311(Microsoft) und 1.3.6.1.4.1.9(Cisco Systems).

Woher bekommt man eine OID?

Eine OID ist eine eindeutige Zahlenfolge zur Identifizierung eines bestimmten Verzeichnisobjekts oder -attributs. Sie können eine OID für ein CPS entweder als öffentliche oder als private OID definieren.

Falls die Organisation plant, PKI-fähige Anwendungen in Verbindung mit anderen Organisationen nutzen, muss die Organisation eine OID von einem öffentlichen Nummernvergabeunternehmen erhalten, um die Eindeutigkeit ihrer OID im Internet zu gewährleisten. Quellen für öffentliche OIDs sind:

  • Die Internet Assigned Numbers Authority (IANA). Diese Stelle vergibt kostenlose OIDs im Rahmen des Private Enterprises-Programms. Jede IANA-ID beginnt mit den Zahlen 1.3.6.1.4.1, die für iso(1).org(3).dod(6).internet(1).private(4).enterprise(1) stehen.

Hinweis: Ein Arc ist der Begriff, der für einen bestimmten Pfad im globalen OID-Baum der Internationalen Organisation für Normung (ISO) und der Internationalen Fernmeldeunion verwendet wird. Dieser globale OID-Baum wird manchmal auch als gemeinsamer ISO/ITU-T-Baum bezeichnet. Beispielsweise enthält der Arc „Private Enterprises“ alle OIDs, die mit 1.3.6.1.4.1 beginnen.

  • Das American National Standards Institute (ANSI). Diese Quelle vergibt OIDs zum Kauf unter dem US Organizations-Bogen des ANSI-OID-Baums. Jede vom ANSI vergebene OID beginnt mit den Zahlen 2.16.840.1 rep, die für joint-iso-itu-t(2), country(16), US(840), US company arc(1) stehen.
  • Andere Länder. Jedes Land verfügt über eine eigene OID-Verwaltungsorganisation. Die einfachste Möglichkeit, die Organisation eines bestimmten Landes zu finden, ist eine Google-Suche (www.google.com) mit den Suchbegriffen „Land“ (wobei „Land“ der Name des jeweiligen Landes ist) und „Objektkennung“. Hier sind einige Beispiele für die im gemeinsamen ISO/ITU-T-Baum verfügbaren Bögen:
    • Kanada: joint-iso-itu-t(2).country(16).canada(124)
    • Niederlande: joint-iso-itu-t(2).country(16).netherlands(528)
    • Schweiz: joint-iso-itu-t(2).country(16).switzerland(756)
    • Thailand: joint-iso-itu-t(2).country(16).thailand(764)

Sie können auch eine private OID basierend auf der GUID (Globally Unique Identifier) ​​Ihres Forests innerhalb des von Microsoft IANA zugewiesenen Baums generieren. Wenn Sie diese OIDs verwenden, wird Ihnen eine OID ab 1.3.6.1.4.1.311.21.8.abcde1.402 zugewiesen (wobei abcde eine eindeutige Zahlenfolge basierend auf der GUID Ihres Forests ist).

Hinweis: Verwenden Sie den privaten OID-Baum nur, wenn Sie die OIDs nicht in Verbindung mit anderen Organisationen verwenden möchten und Ihre Organisation keine kostenlose IANA-ID erhalten möchte. Wenn Sie PKI-fähige Anwendungen in anderen Organisationen verwenden möchten, beziehen Sie einen kostenlosen OID-Baum von der IANA oder kaufen Sie einen Baum von der ANSI.

Tipp: Sie erhalten die private OID Ihrer Gesamtstruktur, indem Sie die Konsole „Zertifikatvorlagen“ (certtmpl.msc) als Mitglied der Gruppe „Organisationsadministratoren“ öffnen. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf „Zertifikatvorlagen“ und anschließend auf „Objektkennungen anzeigen“. Wählen Sie im angezeigten Dialogfeld die Objektkennung „High Assurance“ aus und klicken Sie auf die Schaltfläche „Objektkennung kopieren“. Nachdem Sie die OID kopiert haben, können Sie die Werte Ihrer Gesamtstruktur in die Platzhalter abcde einfügen und dabei alle nachfolgenden Ziffern entfernen.

Warum brauchen Sie OIDs?

Wir haben die Idee der OID und wie man sie erhält verstanden, aber Sie fragen sich sicher, warum wir diese OIDs brauchen? Hier sind einige wichtige Gründe:

  1. Globale Einzigartigkeit

    Einer der Hauptgründe besteht darin, dass OIDs sicherstellen, dass von verschiedenen Organisationen erstellte Kennungen nicht kollidieren, ähnlich wie Domänennamen Namenskonflikte im Internet verhindern.

  2. Standardisierung

    OIDs werden häufig in internationalen Standards verwendet, insbesondere in Sicherheitsprotokollen (z. B. Zertifikate, Kryptografie), im Gesundheitswesen (z. B. HL7, DICOM) und in der Telekommunikation.

  3. Skalierbarkeit

    Organisationen können nach Bedarf eine unbegrenzte Anzahl von Sub-OIDs erstellen, sobald sie ihre Stamm-OID haben. Dies ist nützlich, um Kennungen innerhalb eines großen, komplexen Systems zuzuweisen, ohne für jede Kennung auf externe Register zurückgreifen zu müssen.

  4. Sicherheit

    In der Kryptografie und bei digitalen Zertifikaten (wie X.509) verfügt jeder Signaturalgorithmus, beispielsweise SHA-256 mit RSA-Verschlüsselung, über eine festgelegte OID, die ihn eindeutig identifiziert. Die OID eines Algorithmus dient als Signatur und bietet einen global eindeutigen Verweis auf den Algorithmustyp.

Zertifikatsrichtlinienerweiterung

Die Zertifikatsrichtlinienerweiterung, sofern in einem Ausstellerzertifikat vorhanden, drückt die von der Zertifizierungsstelle befolgten Richtlinien aus. Diese betreffen sowohl die Identitätsvalidierung vor der Zertifikatsausstellung als auch den Widerruf von Zertifikaten und die betrieblichen Vorgehensweisen zur Gewährleistung der Integrität der Zertifizierungsstelle. Diese Richtlinien können auf zwei Arten ausgedrückt werden: als OID, eine eindeutige Nummer, die auf eine bestimmte Richtlinie verweist, und als menschenlesbares Certificate Practice Statement (CPS). Eine Zertifikatsrichtlinienerweiterung kann sowohl die computerlesbare OID als auch ein druckbares CPS enthalten. Für jede Richtlinie ist eine spezielle OID reserviert, die besagt, dass die Zertifizierungsstelle Zertifikate im Rahmen einer frei formulierten Richtlinie ausstellen darf.

IETF RFC 252717 enthält eine vollständige Beschreibung der Inhalte eines CA-Richtliniendokuments und eines CPS. Weitere Einzelheiten zu den Richtlinien von 2527 finden Sie im Abschnitt „PKI-Richtlinienbeschreibung“.

Gemäß RFC5280 §4.2.1.4 besteht ein Eintrag in der Zertifikatsrichtlinienerweiterung mindestens aus einer Richtlinienkennung (OID). Eine einzelne Zertifikatsrichtlinienerweiterung kann mehrere Einträge enthalten, einen Eintrag pro Richtlinie. Die Richtlinienkennung kann mit einem oder mehreren Richtlinienqualifizierern kombiniert werden. RFC5280 unterstützt zwei Richtlinienqualifizierer:

  1. CPS-Zeiger
  2. Benutzerhinweis

CPS-Zeiger ist eine URL zu einem Certificate Practice Statement-Dokument, das die Richtlinie beschreibt, unter der das Zertifikat im Betreff ausgestellt wurde.

Benutzerhinweis ist ein kleiner Textabschnitt (RFC empfiehlt, nicht mehr als 200 Zeichen zu verwenden), der die Richtlinie beschreibt.

Microsoft verlangt, dass die Erweiterung „Certificate Policies“ aus einer Richtlinienkennung und einem oder mehreren Richtlinienqualifizierern besteht. Der bevorzugte Richtlinienqualifizierer ist ein CPS-Pointer, da die Benutzerhinweise kurz sind und nicht genügend Informationen liefern. Im CPS-Pointer hingegen können Sie eine URL zu einem CPS-Dokument oder einer Webseite angeben. Ein weiterer Grund für die Verwendung des CPS-Pointers ist, dass beim Öffnen des digitalen Zertifikats in der Benutzeroberfläche eine Schaltfläche namens „Erklärung des Emittenten".

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Das GUI-Dialogfeld „Zertifikat“ sucht im Zertifikat nach der Erweiterung „Certificate Policies“ und aktiviert die Schaltfläche, wenn diese gefunden wurde. Durch Drücken der Schaltfläche werden Sie zu einer ersten CPS-Pointer-URL weitergeleitet, wo Sie die Erklärung des Zertifikatsausstellers lesen können.

Haben Sie sich gefragt, warum Stamm-CA-Zertifikate keine Zertifikatsrichtlinienerweiterung benötigen? – Weil für selbstsignierte Zertifikate eine implizite Zertifikatsrichtlinienerweiterung mit dem Platzhalter „Alle Ausstellungsrichtlinien“ impliziert ist. Auf Stammebene dürfen keine benutzerdefinierten Richtlinien definiert werden. Die Zertifikatsrichtlinienerweiterung muss auf der zweiten Ebene erscheinen (Richtlinien-CA in einer dreistufigen Hierarchie oder ausstellende CA, wenn die Rollen Richtlinien- und ausstellende CA in einer zweistufigen Hierarchie kombiniert sind).

Zum Beispiel, Zertifikatsrichtlinien Erscheinungsbild in einer 3-stufigen Hierarchie:

Stammzertifizierungsstelle – keine Zertifikatsrichtlinienerweiterung

Policy CA – Certificate Policies-Erweiterung mit einer oder mehreren Richtlinien

Ausstellende CA – Erweiterung der Zertifikatsrichtlinien mit einer oder mehreren Richtlinien

Blattzertifikat – Zertifikatsrichtlinienerweiterung mit einer oder mehreren Richtlinien

HINWEIS: In einer zweistufigen Hierarchie ist der Pfad kürzer, es gelten jedoch dieselben Regeln.

Fazit

Object Identifiers (OIDs) spielen eine wichtige Rolle in PKI, da sie als eindeutige Kennungen für Zertifikatssysteme dienen, Zertifikatspraxiserklärungen (CPS)und andere Verzeichnisobjekte. Um eine OID zu erhalten, müssen Sie sich bei einer öffentlichen Nummerierungsorganisation wie IANA registrieren oder ein ANSI-Produkt erwerben, je nach Bedarf. Eine Verschlüsselungsberatung kann Sie bei der Generierung und Verwaltung von OIDs unterstützen und so sicherstellen, dass Ihre PKI-Infrastruktur konform und eindeutig ist.

Entdecken

Weitere Themen