Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. PKI

Zertifizierungsstelle – Hierarchie und Verwendung

Geschrieben vonParnashree Saha 7 Minuten
Zertifizierungsstelle – Hierarchie und Verwendung
Inhaltsverzeichnis

Sicherheit und Schutz im Internet sind von entscheidender Bedeutung und Einzelpersonen und Organisationen haben oft ein berechtigtes Bedürfnis, die Identität der Personen, mit denen sie kommunizieren, zu verschlüsseln und zu überprüfen.

A Zertifizierungsstelle ist eine vertrauenswürdige Entität, die digitale ZertifikateEine Zertifizierungsstelle erfüllt drei Hauptaufgaben:

  • Stellt Zertifikate aus
  • Bestätigt die Identität des Zertifikatsinhabers
  • Belegt die Gültigkeit des Zertifikats

Digitale Zertifikate

Ein Zertifikat oder digitales Zertifikat ist ein Datensatz zur Überprüfung der Identität einer Entität. Zertifikate werden von Zertifizierungsstellen ausgestellt und folgen einem bestimmten Format (X.509-Zertifikatsstandard).

Die in einem Zertifikat enthaltenen Informationen sind:

  • Betreff

    Gibt den Namen des Computers, Benutzers, Netzwerkgeräts oder Dienstes an, für den die Zertifizierungsstelle das Zertifikat ausstellt.

  • Seriennummer

    Bietet eine eindeutige Kennung für jedes von einer Zertifizierungsstelle ausgestellte Zertifikat.

  • Aussteller

    Stellt einen eindeutigen Namen für die Zertifizierungsstelle bereit, die das Zertifikat ausgestellt hat.

  • Gültig ab

    Gibt das Datum und die Uhrzeit an, ab wann das Zertifikat gültig wird.

  • Gültig bis

    Gibt das Datum und die Uhrzeit an, ab dem das Zertifikat nicht mehr gültig ist.

  • public Key

    Enthält den öffentlichen Schlüssel des Schlüsselpaars, das mit dem Zertifikat verknüpft ist.

  • Signaturalgorithmus

    Der zum Signieren des Zertifikats verwendete Algorithmus.

  • Signaturwert

    Bitfolge, die die digitale Signatur enthält.

Erfahren Sie mehr über digitale Zertifikate – Digitale Zertifikate und Windows-Zertifikatspeicher | Verschlüsselungsberatung

Wie funktioniert eine Zertifizierungsstelle?

Im Folgenden wird der Vorgang erläutert, mit dem Sie eine Zertifizierungsstelle dazu bewegen, ein signiertes Zertifikat auszustellen:

  1. Der Antragsteller oder Client erstellt ein Schlüsselpaar (öffentlicher und privater Schlüssel) und sendet eine sogenannte Zertifikatsignieranforderung (Certificate Signing Request, CSR) an eine vertrauenswürdige Zertifizierungsstelle. Die CSR enthält den öffentlichen Schlüssel des Clients und alle Informationen zum Antragsteller.
  2. Die Zertifizierungsstelle überprüft, ob die Informationen im CSR der Wahrheit entsprechen. Ist dies der Fall, stellt sie mithilfe des privaten Schlüssels der Zertifizierungsstelle ein Zertifikat aus, signiert es und übergibt es anschließend dem Antragsteller zur Verwendung.
  3. Der Anforderer kann das signierte Zertifikat für das entsprechende Sicherheitsprotokoll verwenden:

Verwendung einer Zertifizierungsstelle

Zertifizierungsstellen stellen verschiedene Arten von Zertifikaten aus, darunter ein SSL Zertifikat. SSL-Zertifikate werden auf Servern verwendet und sind das am häufigsten verwendete Zertifikat, mit dem ein normaler Benutzer in Kontakt kommt. Die drei Ebenen eines SSL-Zertifikats sind

  • Extended Validation (EV)
  • Organisationsvalidierung (OV)
  • Domain-Validierung (DV)

Zertifikate mit einem höheren Vertrauensgrad kosten in der Regel mehr, da sie einen höheren Arbeitsaufwand seitens der Zertifizierungsstelle erfordern.

  1. Extended Validation (EV)

    Diese Zertifikate bieten ein Höchstmaß an Sicherheit seitens der Zertifizierungsstelle, dass sie die antragstellende Entität validiert hat. Bei der Verifizierung eines EV-SSL-Zertifikats durchläuft der Website-Eigentümer einen gründlichen und weltweit standardisierten Identitätsprüfungsprozess (eine Reihe von Prüfprinzipien und -richtlinien, die vom CA/Browser-Forum ratifiziert wurden), um die exklusiven Nutzungsrechte an einer Domain nachzuweisen, ihre rechtliche, betriebliche und physische Existenz zu bestätigen und nachzuweisen, dass die Entität zur Ausstellung des Zertifikats autorisiert ist. Diese verifizierten Identitätsinformationen sind im Zertifikat enthalten.

    Beispiel: Eine Person, die ein EV-Zertifikat beantragt, muss durch ein persönliches Gespräch mit dem Antragsteller sowie durch die Überprüfung einer persönlichen Erklärung, einer primären Ausweisform, beispielsweise eines Reisepasses oder Führerscheins, sowie zweier sekundärer Ausweisformen validiert werden.

  2. Organisationsvalidierung (OV)

    OV-Zertifikate bieten Sicherheitsgarantien und erfordern eine menschliche Überprüfung der Identität des Unternehmens. OV-SSL-Zertifikate geben Besuchern die Sicherheit, dass sie sich auf einer Website eines authentischen Unternehmens befinden. Bevor ein OV-Zertifikat erteilt wird, muss ein Mitglied des Sicherheitsteams das Unternehmen kontaktieren, um zu bestätigen, dass die Inhaber das SSL-Zertifikat tatsächlich angefordert haben.

  3. Domain-Validierung (DV)

    Domain-Validierungszertifikate sind von allen Zertifikaten am einfachsten zu erhalten, da keine manuelle Identitätsprüfung stattfindet. Für DV-SSL-Zertifikate muss der Antragsteller lediglich den Besitz der Domain nachweisen, für die das Zertifikat beantragt wird. DV-Zertifikate sind nahezu sofort und kostengünstig oder sogar kostenlos erhältlich. Beispiel: DNS- oder E-Mail-Validierung von ACM Cert Manager.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Zertifizierungsstellen stellen auch andere Arten digitaler Zertifikate aus:

  1. Codesignaturzertifikate

    Codesignatur Zertifikate werden von Softwareherstellern und -entwicklern zum Signieren ihrer Softwareverteilungen verwendet. Endbenutzer verwenden diese zur Authentifizierung und Validierung von Softwaredownloads vom Anbieter oder Entwickler.

  2. E-Mail-Zertifikate

    Ermöglichen Sie Entitäten das Signieren, Verschlüsseln und Authentifizieren von E-Mails mithilfe des S/MIME-Protokolls (Secure Multipurpose Internet Mail Extension) für sichere E-Mail-Anhänge.

  3. Gerätezertifikate

    Wird an Geräte des Internets der Dinge (IoT) ausgegeben, um eine sichere Verwaltung und Authentifizierung von Software- oder Firmware-Updates zu ermöglichen.

  4. Objektzertifikate

    Wird zum Signieren und Authentifizieren aller Arten von Softwareobjekten verwendet.

  5. Benutzer- oder Client-Zertifikate

    Wird von Einzelpersonen für verschiedene Authentifizierungszwecke verwendet.

Client-Server-Authentifizierung über eine Zertifizierungsstelle (CA)

Die Zertifizierungsstelle erstellt ein digitales Zertifikat (auch SSL/TLS-Zertifikat genannt), das einen öffentlichen Schlüssel mit Informationen verknüpft, die sich auf die Entität beziehen, der dieser öffentliche Schlüssel gehört. Dadurch kann jedes System die Entität-Schlüssel-Bindung eines vorgelegten Zertifikats überprüfen.

  1. Der erste Schritt besteht darin, herauszufinden, ob die Zertifizierungsstelle vertrauenswürdig ist. Der Name der Zertifizierungsstelle wird dem Zertifikat entnommen und mit einer Liste vertrauenswürdiger Zertifizierungsstellen verglichen, die der Webbrowser bereitstellt. Wenn der Name der Zertifizierungsstelle als vertrauenswürdig eingestuft wird, erhält der Client den entsprechenden öffentlichen Schlüssel der Zertifizierungsstelle für den nächsten Validierungsschritt.
  2. In diesem Schritt wird die digitale Signatur auf dem Serverzertifikat validiert. Es handelt sich im Wesentlichen um den Hash des öffentlichen Schlüssels der Zertifizierungsstelle.
  3. Um die digitale Signatur zu validieren, hasht der Client den öffentlichen Schlüssel der CA mit demselben Hash-Algorithmus, den die CA zum Abrufen der digitalen Signatur verwendet.
  4. Stimmen die beiden Hashes überein, ist die digitale Signatur gültig und das Zertifikat authentifiziert. Stimmen die Hashes nicht überein, ist das Zertifikat ungültig und kann nicht authentifiziert werden.
  5. Zur Validierung des Zertifikats müssen auch die Ablaufdaten des Zertifikats überprüft werden.
  6. Sobald ein Zertifikat authentifiziert ist, wird auch die Identität des Zertifikatsinhabers authentifiziert.

CA-Hierarchieoptionen

CAs sind hierarchisch aufgebaut und es gibt im Allgemeinen drei Arten von Hierarchien: einstufig, zweistufig und dreistufig.

Einstufige Hierarchie

In dieser Hierarchie ist die einzelne Zertifizierungsstelle sowohl ausstellende Zertifizierungsstelle als auch Stammzertifizierungsstelle. Die Stammzertifizierungsstelle wird als Unternehmenszertifizierungsstelle installiert und bleibt im Netzwerk Mitglied einer bestimmten Domäne. Kurz gesagt: Die Stammzertifizierungsstelle ist jederzeit verfügbar, um Zertifikate an anfragende Benutzer, Computer, Netzwerkgeräte usw. auszustellen.

Diese einstufige Hierarchie wird für kein Produktionsszenario empfohlen, da bei dieser Hierarchie eine Kompromittierung dieser einzelnen CA einer Kompromittierung der gesamten PKI gleichkommt.

Zweistufige Hierarchie

Eine zweistufige Hierarchie erfüllt die Anforderungen der meisten Unternehmen. Dieses Design umfasst eine Offline-Root-CA und eine untergeordnete ausstellende Online-CA. Dieses Modell erhöht die Sicherheit, da die Root-CA vom Netzwerk getrennt ist und der private Schlüssel der Root-CA besser vor Kompromittierungen geschützt ist. Die zweistufige Hierarchie erhöht zudem Skalierbarkeit und Flexibilität, da der Root-CA mehrere ausstellende CAs untergeordnet sein können. Dadurch können CAs an verschiedenen geografischen Standorten und mit unterschiedlichen Sicherheitsstufen existieren.

Dreistufige Hierarchie

In einer dreistufigen CA-Hierarchie wird eine Offline-Root-CA als eigenständige Root-CA installiert, und eine oder mehrere Offline-Intermediate-/Policy-CAs sowie eine oder mehrere ausstellende CAs werden als untergeordnete Enterprise-CAs installiert. Die Policy-CA ist so konfiguriert, dass sie Zertifikate an die ausstellende CA ausstellt, die in der Art der auszustellenden Zertifikate eingeschränkt ist. Einer der Gründe für die zweite Ebene in dieser Hierarchie besteht darin, dass Sie, falls Sie aufgrund eines Schlüsselkompromittierungsproblems mehrere CAs widerrufen müssen, dies auf der zweiten Ebene tun können, wodurch andere „Zweige von der Root-CA“ verfügbar bleiben. Es ist zu beachten, dass CAs der zweiten Ebene in dieser Hierarchie, wie die Root-CA, offline gehalten werden können.

Fazit

Eine Zertifizierungsstelle spielt die Schlüsselrolle bei der Ermöglichung einer sicheren Kommunikation und beim Aufbau von Vertrauen zwischen einem Benutzer und einer Ressource, indem sie überprüft, ob die betreffende Organisation und der betreffende Client authentisch bzw. gültig sind.

Eine vollständige Liste der Empfehlungen zur Planung einer CA-Hierarchie sowie Angaben dazu, ab welchem ​​Grad der geschäftlichen Auswirkung Sie deren Implementierung in Betracht ziehen sollten, finden Sie unter Sicherung von PKI: Anhang F: Liste der Empfehlungen nach Auswirkungsstufe.

Entdecken Sie unsere

Verwandte Blogs

Modernisierung der PKI zur Minderung von TNFL

Modernisierung der PKI zur Minderung von TNFL

16. März 2026
PKI-Steuerung

Aufrechterhaltung der PKI-Kontrolle in einer Cloud-First-Welt

4. März 2026
NDES und SCEP

NDES und SCEP erklärt: Das Rückgrat der automatisierten Zertifikatsregistrierung

2. März 2026

Entdecken

Weitere Themen