asyoube logo asyoube

Zertifikatsmanagement

5 min 2 Abschnitte
Was du nach diesem Konzept kannst 4

  1. Du bist in der Lage, den Prozess der Zertifikatsvalidierung durch einen Client zu erklären ,

    indem beschrieben wird, wie ein Client (z. B. ein Webbrowser) die Gültigkeit eines Zertifikats anhand der digitalen Signatur, der Vertrauenskette bis zu einer vertrauenswürdigen Root CA und des Sperrstatus überprüft.

  2. Du bist in der Lage, die hierarchische Struktur von Zertifizierungsstellen zu differenzieren ,

    indem die unterschiedlichen Rollen und Vertrauensstellungen von Root CAs und Subordinate CAs sowie deren Zusammenwirken zur Schaffung einer Vertrauenskette (Chain of Trust) analysiert werden.

  3. Du bist in der Lage, den Lebenszyklus eines digitalen Zertifikats zu erklären ,

    indem der Prozess von der Erstellung eines Certificate Signing Requests (CSR) über die Ausstellung durch eine CA bis hin zum Widerruf mittels einer Certificate Revocation List (CRL) oder OCSP dargestellt wird.

  4. Du bist in der Lage, die Rolle einer Zertifizierungsstelle (CA) als Vertrauensanker in einer Public Key Infrastructure (PKI) zu erklären ,

    indem ihre Aufgabe beschrieben wird, Identitäten zu überprüfen und digitale Zertifikate auszustellen, die öffentliche Schlüssel eindeutig einer Entität (Person, Server, Organisation) zuordnen.

Was sind digitale Zertifikate und welche Rolle spielt die CA?

Der digitale Ausweis im Netz

Stell dir vor, du möchtest ein wichtiges Paket bei der Post abholen. Um zu beweisen, dass du wirklich die berechtigte Person bist, zeigst du deinen Personalausweis vor. Ein digitales Zertifikat erfüllt im Internet genau denselben Zweck: Es ist ein digitaler Ausweis, der die Authentizität (Echtheit) von Servern, Personen oder ganzen Organisationen bestätigt.

Technisch gesehen bindet ein Zertifikat einen öffentlichen Schlüssel (Public Key) unwiderruflich an eine eindeutige digitale Identität. Wenn du dich beispielsweise beim Online-Banking anmeldest, garantiert das Zertifikat der Bank, dass der öffentliche Schlüssel, den dein Browser zur Verschlüsselung deiner Daten nutzt, auch wirklich zu deiner Bank gehört und nicht zu einer betrügerischen Webseite, die deine Daten abfangen möchte.

Die Zertifizierungsstelle (CA) als Vertrauensanker

Damit ein Ausweis gültig und glaubwürdig ist, muss er von einer offiziellen Behörde ausgestellt sein. In einer Public Key Infrastructure (PKI) übernimmt diese zentrale Rolle die Zertifizierungsstelle (Certificate Authority, kurz CA).

Die CA fungiert als unabhängiger Vertrauensanker. Ihre Hauptaufgabe ist es, die Identität einer antragstellenden Person oder Organisation zweifelsfrei zu überprüfen. Ist diese Prüfung erfolgreich, stellt die CA das Zertifikat aus und signiert es kryptografisch mit ihrem eigenen privaten Schlüssel. Durch diese digitale Unterschrift beglaubigt die CA für alle sichtbar: "Wir haben geprüft und bestätigen hiermit, dass dieser öffentliche Schlüssel tatsächlich zu dieser spezifischen Domain oder Organisation gehört."

Der Lebenszyklus eines Zertifikats

Ein digitales Zertifikat ist nicht ewig gültig, sondern durchläuft einen fest definierten Lebenszyklus, der von Administrator:innen aktiv verwaltet werden muss:

  1. Beantragung (CSR): Du erstellst auf deinem Webserver ein neues Schlüsselpaar. Den öffentlichen Schlüssel sendest du zusammen mit deinen Identitätsdaten (z. B. dem Domainnamen) als Certificate Signing Request (CSR) an die CA.
  2. Prüfung und Ausstellung: Die CA validiert deine Angaben. Ist alles korrekt, signiert sie den CSR und stellt das fertige Zertifikat aus.
  3. Nutzung: Das Zertifikat wird auf dem Server installiert und sichert ab sofort die Verbindungen (z. B. per HTTPS) ab.
  4. Widerruf (Revocation): Wird dein privater Schlüssel gestohlen oder ändert sich der Domainname, muss das Zertifikat sofort gesperrt werden, noch bevor es regulär abläuft.

Für die Überprüfung gesperrter Zertifikate gibt es zwei Mechanismen: Die CA veröffentlicht regelmäßig eine Certificate Revocation List (CRL), eine Art "schwarze Liste", die Clients herunterladen können. Da diese Liste oft zeitverzögert ist, wird heute bevorzugt das Online Certificate Status Protocol (OCSP) genutzt, um den Status eines Zertifikats in Echtzeit direkt bei der CA abzufragen.

Zertifikatsmanagement — dec-information-security-cryptography-public-key-infrastructure-certificate-management_page1.svg

Wie wird die Vertrauenswürdigkeit von Zertifikaten geprüft?

Die Hierarchie der Zertifizierungsstellen

Zertifikate werden aus Sicherheitsgründen nicht von einer einzigen, riesigen CA ausgestellt. Stattdessen gibt es eine strenge Hierarchie, die eine lückenlose Vertrauenskette (Chain of Trust) bildet.

An der absoluten Spitze dieser Hierarchie stehen die Root CAs (Wurzelzertifizierungsstellen). Sie sind die ultimativen Vertrauensanker, deren Zertifikate in deinem Betriebssystem oder Browser bereits ab Werk fest vorinstalliert sind. Da die privaten Schlüssel der Root CAs extrem wertvoll sind, werden sie strengstens geschützt und oft komplett offline aufbewahrt.

Um dieses hohe Sicherheitsniveau zu halten, stellen Root CAs niemals direkt Zertifikate für normale Webseiten aus. Stattdessen signieren sie Zertifikate für Subordinate CAs (auch Intermediate CAs oder Zwischenzertifizierungsstellen genannt). Diese untergeordneten CAs übernehmen das operative Tagesgeschäft und stellen die eigentlichen Zertifikate für Endanwendende (wie Webserver) aus. So entsteht die Kette: Das Serverzertifikat vertraut der Subordinate CA, und diese vertraut der Root CA.

Der Validierungsprozess durch den Client

Wenn dein Webbrowser (der Client) eine sichere Verbindung zu einer Webseite aufbaut, muss er das präsentierte Zertifikat in Sekundenbruchteilen validieren. Dieser Prozess umfasst vier strenge Prüfschritte:

  1. Aufbau der Vertrauenskette: Der Browser prüft die digitale Signatur des Serverzertifikats mithilfe des öffentlichen Schlüssels der ausstellenden Subordinate CA. Dann prüft er die Signatur der Subordinate CA mithilfe der Root CA. Diese Kette muss lückenlos bis zu einer Root CA führen, die im Trust Store (dem internen Zertifikatsspeicher) des Browsers als vertrauenswürdig hinterlegt ist.
  2. Gültigkeitszeitraum: Der Browser kontrolliert, ob das aktuelle Datum zwischen dem Ausstellungs- und dem Ablaufdatum des Zertifikats liegt.
  3. Namensabgleich: Der im Zertifikat eingetragene Domainname muss exakt mit der URL übereinstimmen, die du in die Adressleiste eingegeben hast.
  4. Sperrstatus: Zuletzt fragt der Browser über OCSP oder CRL ab, ob das Zertifikat eventuell vorzeitig durch die CA widerrufen wurde.

Nur wenn alle diese Bedingungen ausnahmslos erfüllt sind, stuft der Browser die Verbindung als sicher ein. Schlägt auch nur ein einziger Schritt fehl, wird die Verbindung mit einer deutlichen Sicherheitswarnung blockiert.

Zertifikatsmanagement — dec-information-security-cryptography-public-key-infrastructure-certificate-management_page2.svg

Teste dein Wissen

Du richtest einen neuen Webserver für den Webshop deines Ausbildungsbetriebs ein und beantragst ein TLS-Zertifikat. Was ist der technische Hauptzweck dieses Zertifikats?

Bereit für mehr?

Thema verstanden?

Teste dein Wissen interaktiv in unserer App. 7 Tage kostenlos, dann nur 5 € im Monat.

Jetzt kostenlos testen Preise ansehen