Erste SchrittePKI verstehenZertifizierungsstellenZertifikate ausstellenZertifikat-LebenszyklusOCSPACME-ProtokollAPI-ZugangMCP-IntegrationWorkspaces

PKI verstehen

Public Key Infrastructure (PKI) ist das Rahmenwerk aus Richtlinien, Hardware, Software und Verfahren zur Erstellung, Verwaltung, Verteilung und zum Widerruf digitaler Zertifikate. Es ermöglicht sichere Kommunikation über nicht vertrauenswürdige Netzwerke wie das Internet.

Öffentliche und private Schlüssel

PKI basiert auf asymmetrischer Kryptographie, die ein Paar mathematisch verbundener Schlüssel verwendet:

  • Öffentlicher Schlüssel — Wird offen geteilt. Wird zum Verschlüsseln von Daten oder zur Überprüfung von Signaturen verwendet.
  • Privater Schlüssel — Wird vom Eigentümer geheim gehalten. Wird zum Entschlüsseln von Daten oder zum Erstellen von Signaturen verwendet.

Mit dem öffentlichen Schlüssel verschlüsselte Daten können nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden und umgekehrt. Diese Eigenschaft ermöglicht sichere Kommunikation, ohne vorher ein Geheimnis austauschen zu müssen.

Was ist ein digitales Zertifikat?

Ein digitales Zertifikat (oft als X.509-Zertifikat oder TLS/SSL-Zertifikat bezeichnet) ist ein elektronisches Dokument, das einen öffentlichen Schlüssel an eine Identität bindet. Es enthält:

  • Subjekt — Die Identität, die das Zertifikat repräsentiert (z.B. ein Domainname oder eine Organisation)
  • Öffentlicher Schlüssel — Den öffentlichen Schlüssel des Subjekts
  • Aussteller — Die CA, die das Zertifikat signiert und ausgestellt hat
  • Gültigkeitszeitraum — Start- und Ablaufdatum
  • Subject Alternative Names (SANs) — Zusätzliche Identitäten (Domains, IPs), die das Zertifikat abdeckt
  • Signatur — Die digitale Signatur der CA als Authentizitätsnachweis

Was ist eine Zertifizierungsstelle?

Eine Zertifizierungsstelle (CA) ist eine vertrauenswürdige Instanz, die digitale Zertifikate ausstellt und signiert. Die CA bürgt für die Identität des Zertifikatsinhabers, indem sie das Zertifikat mit ihrem eigenen privaten Schlüssel signiert. Es gibt zwei Arten:

  • Öffentliche CAs — Von Browsern und Betriebssystemen weltweit vertraut (z.B. Let's Encrypt, DigiCert). Wird für öffentlich zugängliche Websites verwendet.
  • Private CAs — Wird von Organisationen für den internen Gebrauch betrieben. Wird nur von Geräten vertraut, die das Root-Zertifikat der CA explizit installieren. Dies ist es, was Certman Ihnen zu erstellen hilft.

Vertrauenskette

Vertrauen in PKI fließt durch eine Hierarchie von Zertifikaten:

  1. Root-CA-Zertifikat — Selbst-signiert, in Vertrauensspeichern installiert. Dies ist der Vertrauensanker.
  2. Zwischen-CA-Zertifikat — Von der Root-CA signiert. Wird verwendet, um Endentitäts-Zertifikate auszustellen, während der Root-Schlüssel offline bleibt.
  3. Endentitäts-Zertifikat — Von einer CA signiert. Identifiziert einen Server, ein Gerät oder einen Dienst.

Wenn ein Client eine Verbindung zu einem Server herstellt, überprüft er jedes Zertifikat in der Kette bis zu einer vertrauenswürdigen Root. Wenn die Kette gültig ist, wird der Verbindung vertraut.

Zertifikatswiderruf

Wenn der private Schlüssel eines Zertifikats kompromittiert wurde oder das Zertifikat nicht mehr benötigt wird, kann es widerrufen werden. Der Widerruf wird kommuniziert über:

  • CRL (Zertifikatswiderrufsliste) — Eine signierte Liste widerrufener Zertifikats-Seriennummern, die von der CA veröffentlicht wird
  • OCSP — Ein Online-Protokoll zur Echtzeit-Widerrufsprüfung

Certman unterstützt beide Mechanismen — jede CA veröffentlicht eine CRL und stellt einen OCSP-Responder für Echtzeit-Statusprüfungen bereit. Siehe den Abschnitt OCSP für Details.

Häufige Anwendungsfälle für private PKI

  • Absicherung interner Dienste (NAS, Router, Heimautomatisierung, Entwicklungsserver)
  • Mutual TLS (mTLS) Authentifizierung zwischen Diensten
  • Verschlüsselung des Datenverkehrs in privaten Netzwerken und VPNs
  • Code-Signierung und Dokumentensignierung innerhalb einer Organisation
  • IoT-Geräte-Authentifizierung