Zertifikatsarten und Zertifikatsspeicher nach dem Import

Root-Zertifikat

Ein Root-Zertifikat ist ein nicht-signiertes Zertifikat mit öffentlichem Schlüssel (nicht CA) oder ein selbst-signiertes Zertifikat und es ist Teil einer Infrastruktur mit öffentlich hinterlegtem Schlüssel.

Am häufigsten eingesetzt werden auf dem ISO-Standard X.509 basierende Zertifikate. In der Regel enthält ein Zertifikat des Typs X.509 die digitale Signatur einer Zertifizierungsstelle (Certificate Authority, CA), die sich für die Richtigkeit der in dem Zertifikat enthaltenen Daten verbürgt.

Hostzertifikat

Mit einem Hostzertifikat werden Systeme nach ihrem Hostnamen identifiziert, um die Sicherheit zu gewährleisten.

Eine Hostreferenz besteht aus einem Zertifikat des Typs X.509 und einem privaten Schlüssel.

Selbst-signierte Zertifikate

Ein selbst-signiertes Zertifikat ist ein Zertifikat, das von der Entität, die es erstellt hat, und nicht von der vertrauenswürdigen Zertifizierungsstelle signiert wurde. Bei dieser Entität kann es sich um eine Person, Organisation, Website oder Softwareapplikation handeln. Zertifikate dieser Art können von beliebigen Stellen erstellt werden.

HINWEIS

Gültigkeit von selbst-signierten Zertifikaten

Selbst-signierte Zertifikate erlauben eine lokale Bereitstellung ohne den bei kommerziellen Zertifikaten erforderlichen Aufwand. Wenn Sie selbst-signierte Zertifikate verwenden, muss der Eigentümer des Desigo CC Systems deren Gültigkeitsstatus verwalten und diese manuell zur Liste der vertrauenswürdigen Zertifikate hinzufügen bzw. daraus entfernen.
Selbst-signierte Zertifikate dürfen nur im Einklang mit den lokalen IT-Bestimmungen genutzt werden (sie sind in einigen CIO-Organisationen nicht zugelassen und werden von Netzwerk-Scans erkannt). Der Import von kommerziellen Zertifikaten erfolgt auf die gleiche Art und Weise.
Sie müssen für eine entsprechende Installation der vertrauenswürdigen Materialien auf den betroffenen Systemen sorgen, z.B. auf allen installierten Clients. In einigen Unternehmen hat dies durch die IT-Organisation zu erfolgen.

Platzhalter-Zertifikat

Ein Platzhalter-Zertifikat ist ein Zertifikat, das den Platzhalter Stern (*) enthält.
Dieses wird eingesetzt, um komplette Subdomänen oder sämtliche Services in einer Domäne abzudecken.
Der Antragsteller beginnt mit einem Stern-Symbol (*), und bis zum ersten Punkt wird eine Ebene abgedeckt (d. h. geht nicht über den Punkt hinaus).

Beispiele: * .dom01.company.net (würde alle Computer im Intranet dom01.company.net abdecken) oder
* .company.com (würde alle logischen Dienste abdecken, die in der Domäne company.com angeboten werden.

Zum Beispiel e-mail.company.com für einen Mail-Dienst und www.company.com für die Website.)

Microsoft unterstützt nur Platzhalter für den ersten Abschnitt des DNS-Namens, d.h. dom01.*.net ist nicht zulässig.

Multihost-Zertifikate

Multihost-Zertifikate werden beispielsweise eingesetzt, wenn ein Host über verschiedene Hostnamen erreicht werden kann. So kann ein Host z.B. die Adresse [Produktname].myDomain.com zum Internet bedienen, während er gleichzeitig auch als hostX.my.intranet oder über seine feste IP-Adresse 123.4.5.6 aus dem Intranet erreicht werden kann.

Alternative Hostnamen oder IP-Adressen werden in der Eigenschaft Alternativer Name (eine V3-Zertifikatserweiterung) gespeichert oder wenn Sie mehrere dedizierte Systeme mit einem einzigen Zertifikat abdecken möchten.

Tipps für das Arbeiten mit Multihost-Zertifikaten

Sie können ein Host-Zertifikat mit einem eindeutigen Namen im Feld Name (z.B. *.in002.company.net) statt des vollständigen Computernamens erstellen. Die Eigenschaft Alternativer Name muss jedoch alle gewünschten Hostnamen der Systeme enthalten, unter denen das System erreicht werden kann. Diese Eigenschaft ermöglicht die Angabe einer Liste von Hostnamen, die durch ein einzelnes Zertifikat gesichert werden.

Lauten beispielsweise die Hostnamen und IP-Adressen des Systems
DNS.1 = foobaa.dom01.company.net
DNS.2 = ABCXY022PC.dom01.company.net
DNS.3 = ABCXY022PC.dom01.company.net
IP.1 = XXX.12.34.567
IP.2 = XXX.12.34.5
so muss die Eigenschaft Alternativer Name sämtliche dieser Namen enthalten.

Mit einem solchen Zertifikat können Sie eine Website/Web-Applikation, die Web-Kommunikation über den CCom-Port und die Client-Server-Kommunikation sichern.
In diesem Fall kann ein beliebiger Alternativer Name im Feld Hostname angegeben werden. Das Feld Zertifikat Ausgestellt an muss dieses Multihost-Zertifikat mit einem der Alternativen Namen als Hostname enthalten.

SSL-Zertifikatformat

PEM-Format

Die meisten Zertifizierungsstellen (Certificate Authority - CA) stellen Zertifikate im PEM-Format in Base64-ASCII-codierten Dateien bereit.
Die Zertifikattypen können .pem-, .crt-, .cer- oder .key-Dateien sein.
Die .pem-Datei kann das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen Datei enthalten. Das Serverzertifikat und das Zwischenzertifikat können sich auch in einer separaten .crt- oder .cer-Datei befinden. Der private Schlüssel kann sich in einer .key-Datei befinden.

Die .pem-Dateien verwenden die ASCII-Codierung, sodass Sie sie in jedem Texteditor wie Notepad, Word usw. öffnen können.

Jedes Zertifikat in der .pem-Datei ist zwischen den folgenden Anweisungen enthalten:
---- BEGIN CERTIFICATE---- and ----END CERTIFICATE----

Der private Schlüssel ist zwischen den folgenden Anweisungen enthalten:

---- BEGIN RSA PRIVATE KEY----- and -----END RSA PRIVATE KEY-----

Die Zertifikatsignierungsanforderung (Certificate Signing Request CSR) ist zwischen den folgenden Anweisungen enthalten:
-----BEGIN CERTIFICATE REQUEST----- and -----END CERTIFICATE REQUEST-----

PKCS#12-Format

Die PKCS#12-Zertifikate liegen in binärer Form vor und sind in .pfx- oder .p12-Dateien enthalten.

PKCS#12 kann das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen .pfx-Datei mit Kennwortschutz speichern. Diese Zertifikate werden hauptsächlich auf der Windows-Plattform verwendet.

Zertifizierungsstellen stellen Zertifikate in einem der oben genannten Formate bereit.

Zertifikatsspeicher

Ein Zertifikatsspeicher ist ein Ort, wo Zertifikate und private Schlüssel im Dateisystem gespeichert werden können.

In allen Windows-Systemen gibt es einen Registry-basierten Speicher mit der Bezeichnung Windows-Zertifikatsspeicher. Alle Systeme unterstützen ein Verzeichnis, das die in einer Datei gespeicherten Zertifikate enthält und als OpenSSL-Zertifikatsspeicher bezeichnet wird.

Jeder Systemzertifikatsspeicher hat folgende Typen:

• Zertifikatsspeicher des lokalen Systems
• Dieser Zertifikatsspeicher ist auf dem lokalen System und wird global für alle Benutzer des Computers verwendet.
• Dieser Zertifikatsspeicher ist in der Registry unter dem Schlüssel HKEY_LOCAL_MACHINE zu finden.
• Zertifikatsspeicher des aktuellen Benutzers
• Dieser Zertifikatsspeicher ist lokal für ein Benutzerkonto auf dem Computer verfügbar.
• Dieser Zertifikatsspeicher ist in der Registry unter dem Schlüssel HKEY_CURRENT_USER zu finden.

Alle Zertifikatsspeicher des aktuellen Benutzers übernehmen die Inhalte der Zertifikatsspeicher des lokalen Systems. Wenn beispielsweise dem Zertifikatsspeicher Stammzertifizierungsstellen des lokalen Systems ein Zertifikat hinzugefügt wird, ist dieses Zertifikat auch in allen Stammzertifizierungsstellen-Zertifikatsspeichern des aktuellen Benutzers enthalten.

Die folgende Tabelle führt die Zertifikatstypen sowie Dateiformate auf, die für den Import in den Windows-Zertifikatsspeicher unterstützt werden.