Zertifikatserweiterungen sind ein integraler Bestandteil der Zertifikatsstruktur gemäß X.509-Standard für Public-Key-Zertifikate. Diese Struktur wird in einer formalen Sprache ausgedrückt, die Abstrakte Syntaxnotation Eins (ASN.1).
Die Struktur eines Zertifikats umfasst verschiedene Zertifikatserweiterungen. In diesem Artikel werden die Zertifikatserweiterungen der Basic Constraints erläutert. Die Details zu den Basic Constraints finden Sie im folgenden RFC:
www.tools.ietf.org/html/rfc5280#section-4.2.1.9
Die Zertifikatserweiterung „Basic Constraints“ weist gemäß RFC-Standard die folgende ASN.1-Struktur auf:
id-ce-basicConstraints OBJEKTKENNZEICHNUNG ::= { id-ce 19 }
Grundlegende Einschränkungen ::= SEQUENZ {
cA BOOLEAN DEFAULT FALSE,
Pfadlängenbeschränkung INTEGER (0..MAX) OPTIONAL }
X.500 war die erste Version, bei der es nicht möglich war, den Zertifikatsinhaber in der Struktur zu identifizieren. Später kam die Standardstruktur X.509 hinzu, die zur Identifizierung des Zertifikatsinhabers verbessert wurde. Die folgenden Felder finden sich in der Struktur der Basic Constraints:
- Betrefftyp
- Pfadlänge
Der Betrefftyp bezeichnet den Inhaber des Zertifikats und kann zwei Typen haben:
- CA-Zertifikat
Der Inhaber dieses Zertifikats ist ein CA
- Endentität
Der Inhaber dieses Zertifikats ist eine Endeinheit wie eine Domäne/Organisation usw.
Die Pfadlänge (ein optionales Feld) gibt an, wie viele CAs einer CA untergeordnet sind. Beispielsweise kann eine CA mit einer Pfadlängenbeschränkung von 0 keine untergeordneten CAs haben, die Zertifikate an andere Endteilnehmer ausstellen können.
Lassen Sie uns Betrefftypen als CA-Zertifikate besprechen.
CA-Zertifikate werden für folgende Zwecke verwendet:
- So signieren Sie Zertifikate, die in HTTPS und CRLs verwendet werden
- Zur Validierung/Authentifizierung der Signaturen auf ausgestellten Zertifikaten
Grundlegende Einschränkungen für ein CA-Zertifikat können wie folgt ermittelt werden
- Öffnen Sie eine beliebige SSL/TLS-basierte URL im Browser
- Klicken Sie auf das Symbol „Vorhängeschloss“
- Klicken Sie auf „Zertifikat“
- Klicken Sie auf „Details“
- Wählen Sie „Grundlegende Einschränkungen“
Im obigen CA-Screenshot ist deutlich zu erkennen, dass der Betrefftyp „CA“ lautet und keine definierte Pfadlänge für das Zertifikat vorhanden ist. Dies bedeutet, dass der Zertifikatsinhaber die CA ist und in der Zertifikatskette unter dieser CA eine unbegrenzte Anzahl von Zertifikaten zulässig ist.
Die „Zertifikatskette“ für ein Zertifikat kann auf folgende Weise ermittelt werden:
- Öffnen Sie eine beliebige SSL/TLS-basierte URL im Browser
- Klicken Sie auf das Symbol „Vorhängeschloss“
- Klicken Sie auf „Zertifikat“
- Klicken Sie auf „Zertifizierungspfad“
Aus der Zertifizierungskette im Screenshot ist ersichtlich, dass die Kette drei Zertifikate enthält. Die ersten beiden Zertifikate sind CA-Zertifikate und das dritte Zertifikat ist das End-Entity-Zertifikat, da CA-Zertifikate am Anfang der Reihenfolge stehen und das letzte Zertifikat in der Kette zu einer End-Entity gehört.
Lassen Sie uns Betrefftypen als End-Entity-Zertifikate diskutieren
Endteilnehmerzertifikate werden zur Authentifizierung von Endteilnehmern (Benutzer, Gerät, Domäne usw.) gegenüber Clients verwendet, darunter TLS-, S/MIME- und Verschlüsselungszertifikate. Die Endteilnehmerzertifikate können wie folgt gefunden werden:
- Öffnen Sie eine beliebige SSL/TLS-basierte URL im Browser
- Klicken Sie auf das Symbol „Vorhängeschloss“
- Klicken Sie auf „Zertifikat“
- 4.Klicken Sie auf „Details“
Im Screenshot ist zu erkennen, dass das Feld „Subject Type“ „End Entity“ lautet und das Feld „Pfadlänge“ „None“ bedeutet, dass dieses Zertifikat nicht zum Ausstellen/Signieren anderer Zertifikate verwendet werden kann. Wenn die Zertifikatsstruktur keine Basisbeschränkung enthält, ist das Zertifikat standardmäßig als End Entity-Zertifikat vorgesehen.
Lassen Sie uns die Pfadlänge im Bild unten besprechen
Im obigen Zertifikatkettendiagramm gibt das erste Zertifikat eine Pfadlängenbeschränkung von 2 an, was bedeutet, dass unter diesem Zertifikat maximal 2 CA-Zertifikate vorhanden sein können, abgesehen vom Endentitätszertifikat.
Als nächstes in der Hierarchie gibt das zweite Zertifikat die Pfadlängenbeschränkung 1 an. Diese Bedingung gilt auch, da sich unter diesem Zertifikat nur ein CA-Zertifikat befindet.
Das dritte Zertifikat in der Liste gibt die Pfadlängenbeschränkung 0 an. Diese Bedingung ist erfüllt, da unter diesem Zertifikat kein CA-Zertifikat vorhanden ist.
Die Einschränkung der Pfadlänge gilt nicht für das endgültige Zertifikat, da es sich um ein Endteilnehmerzertifikat handelt.
Fazit
Die Zertifikaterweiterung „Basic Constraint“ ist entscheidend, da sie jedes End-Entity-Zertifikat daran hindert, andere Zertifikate auszustellen/signieren zu dürfen, da dies einen Verstoß gegen die Zertifikaterweiterung „Basic Constraints“ darstellt. Nur Zertifikate, die mit dem „Subject Type“ als „CA“ und dem Attribut „Path Length“ ausgestellt wurden, können andere Zertifikate ausstellen/signieren.
