Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
cert-basics [2012/06/22 14:04] – [Ein Zertifikat überprüfen] bush | cert-basics [2012/08/31 11:12] – [Das Public Key - Verfahren] bush | ||
---|---|---|---|
Zeile 15: | Zeile 15: | ||
Man kann sich ein Zertifikat als Personalausweis in digitaler Form vorstellen: Beim Personalausweis garantiert die vertrauenswürdige Stelle " | Man kann sich ein Zertifikat als Personalausweis in digitaler Form vorstellen: Beim Personalausweis garantiert die vertrauenswürdige Stelle " | ||
- | Ein Zertifikat enthält den Namen des Inhabers, seinen öffentlichen Schlüssel, eine Seriennummer, | + | Ein Zertifikat enthält den Namen des Inhabers |
- | Mit Hilfe eines persönlichen Zertifikates, | + | Mit Hilfe eines persönlichen Zertifikates, |
Zeile 24: | Zeile 24: | ||
===== Das Public Key - Verfahren ===== | ===== Das Public Key - Verfahren ===== | ||
- | Beim Public Key - Verfahren (z.B. **[[http:// | + | Beim Public Key - Verfahren (z.B. **[[http:// |
{{: | {{: | ||
- | Der besondere Vorteil dieses Verfahrens ist, dass die beiden Parteien keinen gemeinsamen geheimen Schlüssel kennen müssen. Bei der symmetrischen Verschlüsselung hat man immer das aufwändige Problem, den geheimen Schlüssel, der zum Ver- und Entschlüsseln verwendet wird, sicher zu allen Kommunikationspartnern zu übertragen. | + | Der besondere Vorteil dieses Verfahrens ist, dass die beiden Parteien keinen gemeinsamen geheimen Schlüssel kennen müssen. Bei der symmetrischen Verschlüsselung hat man dagegen |
- | Ein Nachteil ist allerdings, dass diese Art der Verschlüsselung sehr rechen- und damit zeitaufwändig ist und somit die verschlüsselte Kommunikation " | + | Ein Nachteil ist allerdings, dass diese Art der Verschlüsselung sehr rechen- und damit zeitaufwändig ist und somit die verschlüsselte Kommunikation " |
\\ | \\ | ||
\\ | \\ | ||
- | <note tip>**In der Praxis:** Sobald Sie mit dem Webbrowser Ihrer Wahl (Firefox, IE) einen Zertifikatsantrag starten (z.B. auf den Antragsseiten der Uni FR CA), wird im Browser eventuell unbemerkt dieses Schlüsselpaar erzeugt. Der private Schlüssel verbleibt grundsätzlich im Zertifikatsspeicher dieses Browsers. Deshalb ist es auch erforderlich, | + | <note tip>**In der Praxis:** Sobald Sie mit dem Webbrowser Ihrer Wahl (Firefox, IE) einen Zertifikatsantrag starten (z.B. auf den Antragsseiten der Uni FR CA), wird im Browser eventuell unbemerkt dieses Schlüsselpaar erzeugt. Der private Schlüssel verbleibt grundsätzlich im Zertifikatsspeicher dieses Browsers. Deshalb ist es erforderlich, |
\\ | \\ | ||
Zeile 135: | Zeile 135: | ||
* In **Schritt 2** erzeugt man einen Zertifikatsantrag (certificate signing request, CSR), der neben dem öffentlichen Schlüssel die Daten aufnimmt, die ins Zertifikat übernommen werden sollen. Der CSR wird als separate PEM-Datei üblicherweise mit der Dateiendung .csr abgespeichert und an die Zertifizierungsstelle geschickt. | * In **Schritt 2** erzeugt man einen Zertifikatsantrag (certificate signing request, CSR), der neben dem öffentlichen Schlüssel die Daten aufnimmt, die ins Zertifikat übernommen werden sollen. Der CSR wird als separate PEM-Datei üblicherweise mit der Dateiendung .csr abgespeichert und an die Zertifizierungsstelle geschickt. | ||
- | * **Schritt 3:** Die vorgelagerte Registrierungsstelle (hier die Uni FR RA) identifiziert den Antragsteller persönlich. | + | * **Schritt 3:** Die vorgelagerte Registrierungsstelle (hier die Uni FR RA) identifiziert den Antragsteller/die Antragstellerin, |
* **Schritt 4:** Nach erfolgter Identifizierung unterschreibt die RA den Zertifikatsantrag digital und löst damit die Herstellung des Zertifikates aus. | * **Schritt 4:** Nach erfolgter Identifizierung unterschreibt die RA den Zertifikatsantrag digital und löst damit die Herstellung des Zertifikates aus. | ||
Zeile 156: | Zeile 156: | ||
Das dürfte den Mitgliedern der Uni Freiburg sicher nicht schwer fallen ;-) In der vorliegenden Public Key Infrastructure des DFN ist dies jedoch nicht nötig, denn es existiert eine " | Das dürfte den Mitgliedern der Uni Freiburg sicher nicht schwer fallen ;-) In der vorliegenden Public Key Infrastructure des DFN ist dies jedoch nicht nötig, denn es existiert eine " | ||
- | Das Zertifikat der Uni FR CA wurde ja ausgestellt von der Global CA des DFN und enthält somit eine digitale Signatur dieser Instanz. Also lässt sich die Vertrauenswürdigkeit des Uni FR CA - Zertifikates auf die des DFN-Zertifikates zurückführen. | + | Das Zertifikat der Uni FR CA wurde ja ausgestellt von der Global CA des DFN und enthält somit eine digitale Signatur dieser Instanz. Also lässt sich die Vertrauenswürdigkeit des Uni FR CA - Zertifikates |
Letzteres wurde aber ausgestellt von der Zertifizierungsstelle der Deutschen Telekom, die dem Zertifikat ihre digitale Signatur mitgegeben hat. Also lässt sich die Vertrauenswürdigkeit des DFN-Zertifikates auf die des Telekom-Zertifikates zurückführen. | Letzteres wurde aber ausgestellt von der Zertifizierungsstelle der Deutschen Telekom, die dem Zertifikat ihre digitale Signatur mitgegeben hat. Also lässt sich die Vertrauenswürdigkeit des DFN-Zertifikates auf die des Telekom-Zertifikates zurückführen. | ||
Zeile 169: | Zeile 169: | ||
- | <note important> | + | <note important> |
- | Viele Wurzelzertifikate werden bereits mit den Installationspaketen der Clients verteilt, weil die Herausgeber der Wurzelzertifikate den Herstellern der Clients gegenüber ihre Vertrauenswürdigkeit bewiesen haben. In diesem Fall müssen die Benutzer nicht einmal mehr dem Wurzelzertifikat gegenüber manuell ihr Vertrauen aussprechen bzw. werden vom Client nicht mehr danach gefragt.</ | + | Viele Wurzelzertifikate werden bereits mit den Installationspaketen der Clients verteilt, weil die Herausgeber der Wurzelzertifikate den Herstellern der Clients gegenüber ihre Vertrauenswürdigkeit bewiesen haben. In diesem Fall müssen die Benutzer nicht einmal mehr dem Wurzelzertifikat gegenüber manuell ihr Vertrauen aussprechen bzw. werden vom Client nicht mehr danach gefragt. An der Notwendigkeit für die Server, die Zwischenzertifikate zu liefern, ändert sich damit jedoch nichts.</ |
\\ | \\ |