Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Education Center
    2. Vorschriften, Standards und Compliance

Was ist der X.509-Standard und das X.509-Zertifikat?

Geschrieben vonManimit Haldar 4 Minuten
Was ist der X.509-Standard und das X.509-Zertifikat?
Inhaltsverzeichnis

Einführung

Der X.509-Standard ist ein weit verbreitetes Format für digitale Zertifikate. Diese Zertifikate werden in verschiedenen Internetprotokollen verwendet, um die Identität der Quelle zu überprüfen, was letztendlich eine wichtige Rolle bei der Vertrauensbildung zwischen den Benutzern spielt. X.509-Zertifikate werden von Zertifizierungsstellen (CAs) ausgestellt und enthalten Informationen wie die Identität der Entität (normalerweise in Form eines Domänennamens), den öffentlichen Schlüssel, die digitale Signatur, das Ablaufdatum und andere relevante Daten.

Die Struktur eines X.509-Zertifikats wird durch den X.509-Standard definiert, der von der International Telecommunication Union (ITU) und der Internet Engineering Task Force (IETF) verwaltet wird. Er legt das Format für Public-Key-Zertifikate, Zertifikatsperrlisten (CRLs), Attributzertifikate und Algorithmen zur Validierung von Zertifizierungspfaden fest.

Was ist ein X.509-Zertifikat?

Das X.509-Zertifikat ist ein digitales Zertifikat das nutzt die X.509 Public Key Infrastructure (PKI) Standard zur Überprüfung des Besitzes eines öffentlichen Schlüssels. Das Zertifikat kann verwendet werden für asymmetrische oder symmetrische Verschlüsselung, das einem Benutzer, einer Website, einem Gerät oder einer Organisation gehören kann. Ein X.509-Zertifikat enthält Informationen über den Zertifikatsinhaber und das Zertifikat selbst. Zu den Daten gehören unter anderem:

  1. Version

    Das Versionsfeld gibt die Iteration des X.509-Standards an, die zum Erstellen des Zertifikats verwendet wurde. Jede Version kann neue Funktionen, Felder oder Sicherheitsverbesserungen enthalten. Neuere Versionen unterstützen beispielsweise möglicherweise stärkere kryptografische Algorithmen oder bieten verbesserte Mechanismen für den Widerruf und die Verwaltung von Zertifikaten.

  2. Seriennummer

    Diese Seriennummer dient als eindeutige Kennung für das Zertifikat innerhalb der Domäne der ausstellenden Zertifizierungsstelle. Sie ist entscheidend, um zwischen verschiedenen Zertifikaten derselben Zertifizierungsstelle zu unterscheiden und Duplikate oder Verwechslungen zu vermeiden. Die Seriennummer ist in der Regel eine nicht negative Ganzzahl, die mit jedem neuen von der Zertifizierungsstelle ausgestellten Zertifikat erhöht wird.

  3. Signaturalgorithmus

    Der Signaturalgorithmus gibt den kryptografischen Algorithmus und die Parameter an, die von der Zertifizierungsstelle verwendet werden, um die digitale Signatur über den Inhalt des Zertifikats zu generieren. Zu den gängigen Signaturalgorithmen gehören RSA, DSA und ECDSA, die jeweils unterschiedliche Sicherheits- und Effizienzstufen bieten. Die Wahl des Algorithmus hängt von Faktoren wie Schlüsselgröße, Rechenaufwand und kryptografischer Stärke ab.

  4. Name des Ausstellers

    Dieses Feld identifiziert die Entität (normalerweise eine Zertifizierungsstelle), die das Zertifikat ausstellt und signiert. Der Distinguished Name (DN) des Ausstellers enthält Informationen wie den Namen der Organisation, das Land und möglicherweise die Organisationseinheit. Die Überprüfung der Identität des Ausstellers ist wichtig, um Vertrauen in die Zertifikatskette aufzubauen und sicherzustellen, dass das Zertifikat nicht in betrügerischer Absicht ausgestellt wurde.

  5. Gültigkeitszeitraum

    Die Gültigkeitsdauer gibt den Zeitraum an, in dem das Zertifikat für kryptografische Vorgänge gültig und vertrauenswürdig ist. Sie besteht aus zwei Komponenten: dem „notBefore“-Datum, das den frühesten Zeitpunkt angibt, ab dem das Zertifikat gültig wird, und dem „notAfter“-Datum, das Ablaufdatum und -uhrzeit angibt. Durch die ordnungsgemäße Verwaltung der Gültigkeitsdauer wird das Risiko abgelaufener oder kompromittierter Zertifikate verringert.

  6. Subjekt Name

    Der Betreffname identifiziert die Entität (z. B. Einzelperson, Organisation, Gerät), für die das Zertifikat ausgestellt ist. Er enthält typischerweise Informationen wie den allgemeinen Namen (CN), der häufig dem Domänennamen für SSL/TLS-Zertifikate entspricht, sowie zusätzliche Attribute wie Organisation (O), Organisationseinheit (OU), Ort (L), Bundesland (ST) und Land (C). Genaue und aktuelle Betreffinformationen sind für die korrekte Identifizierung von Zertifikatsinhabern von entscheidender Bedeutung.

  7. public Key

    Der im Zertifikat enthaltene öffentliche Schlüssel wird für kryptografische Vorgänge wie Verschlüsselung, digitale Signaturen und Schlüsselaustausch verwendet. Er ist mathematisch mit dem entsprechenden privaten Schlüssel verknüpft, der beim Zertifikatsinhaber sicher verwahrt wird. Der öffentliche Schlüssel ermöglicht es anderen, Signaturen zu überprüfen oder Nachrichten zu verschlüsseln, die für den Zertifikatsinhaber bestimmt sind. So werden sichere Kommunikation und Datenintegrität gewährleistet.

  8. Optionale Erweiterungen

    Erweiterungen bieten zusätzliche Metadaten oder Funktionen, die über die im X.509-Standard definierten grundlegenden Zertifikatsfelder hinausgehen. Sie ermöglichen die Anpassung und Spezialisierung von Zertifikaten an spezifische Anforderungen oder Anwendungsfälle. Beispielsweise spezifizieren Schlüsselverwendungserweiterungen den Verwendungszweck des öffentlichen Schlüssels, während SAN-Erweiterungen (Subject Alternative Name) mehrere mit dem Zertifikatsinhaber verknüpfte Identitäten (z. B. Domänennamen) berücksichtigen. Erweiterungen verbessern die Interoperabilität, Sicherheit und Benutzerfreundlichkeit von X.509-Zertifikaten in unterschiedlichen Umgebungen und Anwendungen.

Zertifikatsverwaltung

Verhindern Sie Zertifikatsausfälle, optimieren Sie IT-Vorgänge und erreichen Sie Agilität mit unserer Zertifikatsverwaltungslösung.

Demo buchen

Entdecken

Weitere Themen