Erste SchrittePKI verstehenZertifizierungsstellenZertifikate ausstellenZertifikat-LebenszyklusOCSPACME-ProtokollAPI-ZugangMCP-IntegrationWorkspaces

Zertifizierungsstellen

Eine Zertifizierungsstelle (CA) ist die Vertrauenswurzel für alle von Ihnen ausgestellten Zertifikate. Certman unterstützt sowohl Root-CAs als auch Zwischen-CAs, sodass Sie CA-Hierarchien für verschiedene Umgebungen oder Sicherheitsanforderungen aufbauen können.

Root- vs. Zwischen-CAs

Certman unterstützt zwei Arten von Zertifizierungsstellen:

  • Root-CA — Eine selbst-signierte CA, die als Vertrauensanker dient. Installieren Sie das Root-Zertifikat auf Geräten, die Ihren Zertifikaten vertrauen müssen.
  • Zwischen-CA — Eine CA, die von einer übergeordneten CA (Root oder einer anderen Zwischen-CA) signiert wird. Ermöglicht die Delegation der Zertifikatsausstellung, während der Root-Schlüssel sicherer bleibt.

CA-Hierarchie

Sie können CA-Hierarchien mit bis zu 3 Ebenen aufbauen:

Root-CA (Tiefe 0)
├── Zwischen-CA 1 (Tiefe 1)
│   └── Zwischen-CA 1a (Tiefe 2)
└── Zwischen-CA 2 (Tiefe 1)

Pfadlängenbeschränkung kontrolliert, wie viele Ebenen von Unter-CAs eine Zwischen-CA ausstellen kann:

  • Unbegrenzt — Kann Unter-CAs ohne Einschränkung ausstellen (empfohlen für Root-CAs)
  • 0 — Kann nur Endentitäts-Zertifikate ausstellen, keine Unter-CAs (empfohlen für Blatt-Zwischen-CAs)
  • 1 oder 2 — Kann diese Anzahl von Ebenen an Unter-CAs ausstellen

Eine CA erstellen

Beim Erstellen einer CA geben Sie an:

  • CA-Typ — Root (selbst-signiert) oder Zwischen (von übergeordneter CA signiert)
  • Übergeordnete CA — Für Zwischen-CAs wählen Sie aus, welche CA sie signieren wird
  • Common Name — Ein beschreibender Name (z.B. "Home Lab Root CA")
  • Organisation — Ihr Organisations- oder Projektname
  • Organisationseinheit — Abteilung oder Bereich (z.B. "IT-Abteilung")
  • Algorithmus — RSA-2048, RSA-4096, ECDSA-P256 oder ECDSA-P384
  • Gültigkeit — Wie lange das CA-Zertifikat gültig ist (Zwischen-CA kann die übergeordnete nicht überschreiten)
  • Pfadlänge — Wie viele Ebenen von Unter-CAs diese CA ausstellen kann
  • Passphrase (optional) — Schützen Sie die CA mit einer Passphrase für Zero-Trust-Betrieb

Passphrase-Schutz (Zero-Trust-Modus)

Für Hochsicherheitsumgebungen können Sie Ihre CA mit einer Passphrase schützen. Wenn aktiviert:

  • Certman kann keine Zertifikate ausstellen oder widerrufen, ohne dass Sie die Passphrase angeben
  • Die Passphrase wird niemals auf dem Server gespeichert — nur Sie kennen sie
  • OCSP und CRL funktionieren weiterhin automatisch (über delegierte Signaturzertifikate)
  • Wenn Sie Ihre Passphrase vergessen, kann die CA keine neuen Zertifikate mehr ausstellen

Passphrase-Schutz ist ideal für Produktions-CAs, bei denen Sie sicherstellen möchten, dass die Zertifikatsausstellung immer eine explizite menschliche Autorisierung erfordert.

Speicherung privater Schlüssel

CA-private Schlüssel werden im Standard-PKCS#8-verschlüsselten PEM-Format gespeichert. Dies ist dasselbe Format, das von OpenSSL und den meisten Zertifikatstools verwendet wird, sodass Sie sie bei Bedarf einfach exportieren und mit anderer Software verwenden können.

CA-Lebenszyklus: Widerrufen → Löschen

Alle CAs folgen einem konsistenten zweistufigen Lebenszyklus für die Außerbetriebnahme:

  1. Widerrufen — Markiert die CA als widerrufen und verhindert neue Zertifikatsausstellung
  2. Löschen — Entfernt die CA dauerhaft (nur nach Widerruf verfügbar)

CAs widerrufen

Wenn eine CA widerrufen wird:

  • Zwischen-CAs werden zur CRL der übergeordneten CA hinzugefügt und OCSP meldet sie als widerrufen
  • Root-CAs werden als inaktiv markiert (keine übergeordnete CRL vorhanden)
  • Von der widerrufenen CA können keine neuen Zertifikate ausgestellt werden
  • Bestehende von der CA ausgestellte Zertifikate sollten als nicht vertrauenswürdig betrachtet werden
  • CRL gibt 410 Gone zurück — Clients sollten den Aussagen einer widerrufenen CA nicht vertrauen
  • OCSP gibt unauthorized zurück — aus demselben Grund, die CA ist nicht mehr operativ

Passphrase-Anforderungen:

  • Das Widerrufen einer passwortgeschützten Root-CA erfordert die Passphrase der CA
  • Das Widerrufen einer Zwischen-CA mit passwortgeschützter übergeordneter CA erfordert die Passphrase der übergeordneten CA

CAs löschen

Nur Root-CAs können direkt gelöscht werden. Zwischen-CAs werden kaskadierend gelöscht, wenn ihre übergeordnete Root-CA gelöscht wird. Dies stellt sicher, dass widerrufene Zwischen-CAs in der CRL der übergeordneten CA verbleiben, bis die gesamte Hierarchie entfernt wird.

Eine Root-CA kann gelöscht werden, wenn:

  • Die Root-CA widerrufen ist
  • Alle Kind-CAs (falls vorhanden) widerrufen sind
  • Alle Zertifikate in der Hierarchie widerrufen sind

Wenn Sie eine Root-CA löschen, werden alle Kind-CAs und ihre Zertifikate kaskadierend gelöscht. Dieser zweistufige Prozess bietet einen Sicherheitspuffer, reduziert versehentliche Löschungen und ermöglicht es Benutzern, vollständig aufzuräumen und ihr CA-Limit zurückzugewinnen (wichtig für Benutzer des Free-Plans).

Zertifikatsketten

Bei der Verwendung von Zwischen-CAs benötigen Clients die vollständige Zertifikatskette zur Überprüfung des Vertrauens. Sie können die vollständige Kette im PEM-Format von der CA-Detailseite herunterladen oder die API verwenden, um sie programmgesteuert abzurufen.

Ihre Root-CA installieren

Nach dem Erstellen einer CA laden Sie das Root-Zertifikat herunter und installieren es auf Geräten, die Ihren Zertifikaten vertrauen müssen:

  • macOS — Zur Schlüsselbundverwaltung hinzufügen und auf "Immer vertrauen" setzen
  • Windows — In den Speicher "Vertrauenswürdige Stammzertifizierungsstellen" importieren
  • Linux — Nach /usr/local/share/ca-certificates/ kopieren und update-ca-certificates ausführen
  • Browser — Die meisten verwenden den Vertrauensspeicher des Betriebssystems; Firefox hat einen eigenen Zertifikatsmanager