Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Zertifikatslebenszyklusmanagement

Stammzertifikate – Stamm- vs. Zwischenzertifikate

Geschrieben vonRiley Dickens 8 Minuten
Stammzertifikat – Stammzertifikat vs. Zwischenzertifikat
Inhaltsverzeichnis

Einführung

Public-Key-InfrastrukturenPublic-Key-Infrastrukturen (PKI) bilden in vielen Organisationen das Sicherheitsrückgrat, da sie die Authentifizierung und Identifizierung von Geräten, Benutzern oder Anwendungen innerhalb des Unternehmensnetzwerks gewährleisten. Eine PKI funktioniert folgendermaßen: Ein Gerät, ein Benutzer oder eine Anwendung, die im Netzwerk einer Organisation arbeiten möchte, sendet ein PKI-Signal an die Kennung des Benutzers. Zertifikat-Signaturanforderung Der Certificate Signing Request (CSR) enthält den öffentlichen Schlüssel des Benutzers sowie die Informationen, die zur Erstellung eines Zertifikats für diesen Benutzer benötigt werden. Der öffentliche Schlüssel ist Teil eines vom Antragsteller erstellten Schlüsselpaares, bestehend aus einem privaten und einem öffentlichen Schlüssel. Der private Schlüssel wird geheim gehalten, während der öffentliche Schlüssel dazu dient, Nachrichten, Zertifikate oder andere mit dem privaten Schlüssel signierte Kommunikationsvorgänge dem entsprechenden öffentlichen Schlüssel zuzuordnen. Der CSR wird an eine ausstellende Zertifizierungsstelle (Issuing Certification Authority, ICA) gesendet. CADie zuständige Stelle ist für die Ausstellung und Verwaltung von Zertifikaten verantwortlich. Sobald der Antrag angenommen wurde, wird das Zertifikat an den Antragsteller gesendet.

Wie eine CSR funktioniert

Abbildung 1: Ein Diagramm zur Funktionsweise eines CSR

Diese Zertifikate enthalten Informationen über den Zertifikatsinhaber, darunter den Namen der ausstellenden Zertifizierungsstelle (CA), den Zertifizierungspfad, den öffentlichen Schlüssel des Antragstellers und vieles mehr. Zertifikate teilen die Identität des Zertifikatsinhabers mit anderen Geräten, Anwendungen und Benutzern im Netzwerk, sodass diese wissen, dass dem Zertifikatsinhaber vertraut werden kann. Dieses Vertrauen wird über den Zertifizierungspfad, die sogenannte Zertifikatskette, des dem Zertifikatsinhaber ausgestellten Zertifikats sichergestellt.

Die Vertrauenskette verstehen

Wie bereits erwähnt, ist der Zertifizierungspfad bzw. die Vertrauenskette eines Zertifikats Teil des Zertifikats. Diese Vertrauenskette ist ein Pfad, der das Zertifikat des Zertifikatsinhabers mit dem Zertifikat der Stammzertifizierungsstelle verbindet. Der Zweck einer Vertrauenskette besteht darin, dem anfragenden Dienst oder Benutzer Vertrauen in das Zertifikat zu geben, dessen Kette er verfolgt. Wenn ein Webbrowser Sie mit einer Website verbindet, überprüft er zunächst das Zertifikat dieser Website. Ist das von der Website verwendete Zertifikat gültig, überprüft der Webbrowser anschließend die Vertrauenskette des Zertifikats. Obwohl das Zertifikat weiterhin gültig ist, muss der Browser auch die Zertifikate der Zwischen-, ausstellenden und Stammzertifizierungsstellen überprüfen.

Beispiel eines Zertifikats

Abbildung 2: Ein Beispiel für ein Zertifikat

Die Abbildung unten zeigt ein Beispiel für eine Vertrauenskette. Das Zertifikat ganz unten trägt den Namen *.encryptionconsulting.com ist das Zertifikat dieser Website. Das Zertifikat mit dem Namen R3 ist das Zwischenzertifikat und das Zertifikat mit dem Namen DST-Stammzertifizierungsstelle X3 ist das Stammzertifikat. Bei jedem dieser Zertifikate werden mehrere Komponenten überprüft:

  1. Der Aussteller des aktuell angezeigten Zertifikats muss mit dem Namen des vorherigen Zertifikats in der Kette übereinstimmen.
  2. Am Anfang der Kette muss ein vertrauenswürdiges Zertifikat stehen.
  3. Das aktuelle Zertifikat muss mit dem geheimen Schlüssel des vorherigen Zertifikats in der Kette signiert werden.
Beispiel eines Zertifizierungsweges

Abbildung 3: Ein Beispiel für einen Zertifizierungspfad

Die Bezeichnung „Vertrauenskette“ rührt daher, dass das oberste Zertifikat der Kette implizites Vertrauen in die gesamte Kette schafft. Das oberste Zertifikat einer Vertrauenskette ist stets eine bekannte und vertrauenswürdige Stammzertifizierungsstelle (Root CA), die im Zertifikatsspeicher des Webbrowsers explizit als vertrauenswürdig hinterlegt ist. Da diese Stammzertifizierungsstelle explizit als vertrauenswürdig eingestuft wird, können auch alle von ihr ausgestellten Zertifikate implizit als vertrauenswürdig gelten. Dies liegt daran, dass das explizite Vertrauen in eine Zertifizierungsstelle implizit bedeutet, dass man auch darauf vertraut, dass diese nur Zertifikate an andere vertrauenswürdige Quellen verteilt. Dieses implizite Vertrauen breitet sich durch die gesamte Vertrauenskette aus und gilt für alle Zwischen- und ausstellenden Zertifizierungsstellen innerhalb dieser Kette sowie für das endgültige Zertifikat der zu überprüfenden Website. Dadurch wird eine vertrauenswürdige und sichere Verbindung zwischen der Website und dem Webbrowser hergestellt.

Zertifikatskette

Zertifikatsverwaltung

Verhindern Sie Zertifikatsausfälle, optimieren Sie IT-Vorgänge und erreichen Sie Agilität mit unserer Zertifikatsverwaltungslösung.

Demo buchen

Stammzertifikate

Das Root-Zertifikat bildet den Kern der Vertrauenskette, von dem jegliches Vertrauen ausgeht. Es ist das Zertifikat einer Root-Zertifizierungsstelle (CA). Diese Root-Zertifikate, auch vertrauenswürdige Zertifikate genannt, werden in Zertifikatsspeichern, den sogenannten Trusted Root Stores, abgelegt. Diese Speicher enthalten die Zertifikate und öffentlichen Schlüssel aller vertrauenswürdigen Root-Zertifikate und sind entweder im Betriebssystem des Geräts vorinstalliert oder werden über Drittanbieter-Root-Speicher in Anwendungen wie Webbrowsern eingebunden. Durch die Integration dieser Root-Speicher in das Gerät vor dessen Inbetriebnahme erfolgt die Akzeptanz vieler Zertifikate sehr schnell, da die meisten Organisationen, die öffentliche PKIs verwenden, dieselben, bereits vertrauenswürdigen Zertifikate nutzen. Das bedeutet, dass alle von vertrauenswürdigen Root-CAs signierten Zertifikate automatisch als vertrauenswürdig gelten.
Root-Zertifizierungsstellen (Root Certificate Authorities, CAs) stellen Zertifikate für Zwischen- und ausstellende CAs aus. Beim Aufbau dieser CAs wird anstelle eines regulären Zertifikats ein kreuzsigniertes Zertifikat verwendet. Ein kreuzsigniertes Zertifikat ist ein Zertifikat, das von einer bereits vertrauenswürdigen CA für die neu erstellte, noch nicht vertrauenswürdige CA signiert wird. Dadurch entsteht eine Vertrauenskette, die zu einer bereits vertrauenswürdigen CA zurückführt, bis die neu erstellte CA ihre Vertrauenswürdigkeit unter Beweis gestellt und ein eigenes vertrauenswürdiges Zertifikat erhalten hat. Ein weiterer wichtiger Punkt bei Root-Zertifikaten ist ihre längere Gültigkeitsdauer. Während ein durchschnittliches Zertifikat etwa vier bis sechs Monate gültig ist, werden Root-Zertifikate in der Regel für 20 Jahre ausgestellt, da sie länger gültig bleiben müssen, um den Zusammenbruch der Public-Key-Infrastruktur (PKI) zu verhindern.
Root-CAs sollten außerdem niemals Zertifikate an Endbenutzer ausstellen, da die Kompromittierung eines Root-Zertifikats die gesamte PKI zerstören würde. Würde ein Angreifer die Kontrolle über ein Root-Zertifikat übernehmen, könnte er beliebig viele Zertifikate an jedes Gerät ausstellen. Dies würde es ihm ermöglichen, völlig unbemerkt in ein Netzwerk einzudringen und vertrauliche Informationen zu stehlen, Schadcode in Anwendungen einzuschleusen oder wichtige Infrastruktur zu zerstören. Stattdessen werden Zwischenzertifikate verwendet, um Zertifikate an Endbenutzer auszustellen. Werfen wir nun einen Blick auf Zwischenzertifikate.

Zwischenzertifikate

Zwischenzertifikate werden an Zwischenzertifizierungsstellen (Intermediate CAs) vergeben, die Aufgaben übernehmen, die früher üblicherweise von Stammzertifizierungsstellen ausgeführt wurden. Da es unsicher ist, mehr als eine Stammzertifizierungsstelle zu haben, werden mehrere Zwischenzertifizierungsstellen erstellt. Stammzertifizierungsstellen werden stets offline gehalten, sodass Zwischenzertifizierungsstellen als Online-Stammzertifizierungsstellen fungieren, ohne die gesamte PKI zu gefährden.
Die Erstellung einer Zwischenzertifizierungsstelle ist einfach:

  1. Zunächst signiert die Stammzertifizierungsstelle das Zertifikat der Zwischenzertifizierungsstelle, das Zwischenzertifikat, mit ihrem eigenen privaten Schlüssel und macht dieses Zwischenzertifikat dadurch vertrauenswürdig.
  2. Die Zwischenzertifizierungsstelle kann nun ihr Zwischenzertifikat zum Signieren von Endbenutzerzertifikaten verwenden.
    • Zwischenzertifizierungsstellen können auch die Zwischenzertifikate anderer Zwischenzertifizierungsstellen signieren und so weitere Glieder in der Vertrauenskette schaffen, die zurück zum Stammzertifikat führen.

Der Einsatz von Zwischenzertifizierungsstellen (Intermediate Certification Authorities, CAs) trägt dazu bei, das Risiko bei der Verwendung von CAs zu minimieren. Man kann sich eine PKI wie einen Baum vorstellen: Wird ein Zwischenzweig kompromittiert, kann dieser entfernt werden, sodass die restliche PKI weiterhin bestehen bleibt. Die eigentliche Root-CA, die Wurzel der PKI, müsste im Falle einer Infektion komplett ersetzt werden. Zwischenzertifikate sind daher unerlässlich für eine stabile und sichere PKI. Sie werden wie andere Zertifikate in der PKI in einem Zertifikatsspeicher abgelegt. Dieser speichert neu vertrauenswürdige CA-Zertifikate und Endbenutzerzertifikate, um die Zertifikatsvalidierung zukünftig zu vereinfachen.

Fazit

Wie Sie sehen, erfüllen Root-Zertifikate und Zwischenzertifikate zwar ähnliche Funktionen, unterscheiden sich aber deutlich. Root-Zertifizierungsstellen (CAs) werden offline betrieben und stellen Zertifikate ausschließlich an Zwischenzertifikate aus, niemals an Endbenutzer, da deren Kompromittierung die PKI zerstören würde. Zwischenzertifikate fungieren als Online-Version von Root-CAs, verwenden jedoch ein Zwischenzertifikat anstelle eines Root-Zertifikats. Sie können Zertifikate an andere Zwischenzertifikate oder an Endbenutzer für beliebige Zwecke ausstellen. Zwischenzertifikate unterscheiden sich von Root-CAs auch dadurch, dass ihr erstes Zertifikat ein kreuzsigniertes Zertifikat ist, im Gegensatz zum selbstsignierten Zertifikat des Root-Zertifikats. Nach erfolgreichem Vertrauensnachweis erhält die Zwischenzertifikats-CA ihr eigenes Zertifikat und ist nicht mehr auf das kreuzsignierte Zertifikat angewiesen.

Ohne Root- und Zwischenzertifikate ist die gesamte Vertrauenskette einer PKI unterbrochen. Zwischenzertifizierungsstellen (ZZS) sind für die Interaktion mit Endnutzern erforderlich, während Root-ZZS die Basis der Vertrauenskette bilden. Achten Sie bei der Konzeption Ihrer eigenen PKI darauf, sowohl Root- als auch Zwischenzertifikate zu verwenden, um ein Höchstmaß an Sicherheit zu gewährleisten. Benötigen Sie Unterstützung bei der Konzeption und/oder Implementierung einer sicheren Public-Key-Infrastruktur? Dann können Sie die Dienstleistungen von Encryption Consulting in Anspruch nehmen. Unser erfahrenes Expertenteam unterstützt Sie bei der Entwicklung Ihrer idealen PKI.

Entdecken Sie unsere

Verwandte Blogs

Zertifikatslebenszyklusmanagement

Einschränkungen des AWS Certificate Manager: Wo ACM für Enterprise-PKI an seine Grenzen stößt.

18. Juni 2026
Über die Automatisierung hinaus: Entwicklung eines Sicherheitsrahmens für KI im Zertifikatsmanagement

Jenseits der Automatisierung: Aufbau eines Sicherheitsrahmens für KI im Zertifikatsmanagement

15. Juni 2026
Verständnis der Root-Programmrichtlinie von Chrome

Die Root-Programmrichtlinie von Chrome v1.8 verstehen: Was ändert sich am 15. Juni 2026?

13. Juni 2026

Entdecken

Weitere Themen