Zertifikate

In Lobster_data können sie zur verschlüsselten Kommunikation an verschiedenen Stellen Zertifikate verwenden. Hier können Sie diese zentral verwalten.

Begriffe und Know-How


Die Begriffe in diesem Abschnitt beziehen sich auf eine sogenannte Public-Key-Infrastruktur, speziell auf den Standard X.509 der internationalen Fernmeldeunion (ITU-T), sowie verwandte Standards. Wir setzen die Begriffe asymmetrische Verschlüsselung, öffentlicher Schlüssel, privater Schlüssel, Zertifikat, Zertifizierungsstelle (Certificate Authority oder CA), Fingerprint, Signatur und themenverwandte Begriffe aus dem Bereich sicherer Datenübertragung als bekannt voraus. Das Ziel dieser Dokumentation ist es nicht, diese Begriffe und ihre Zusammenhänge im Detail zu erklären. Dazu gibt es viele frei zugängliche Dokumente.

Ein digitales Zertifikat bezieht sich immer auf ein asymmetrisches Schlüsselpaar mit privatem und öffentlichem Schlüssel. Es enthält strukturierte Daten, die eine Verbindung zwischen dem technischen Schlüssel und der Identität des rechtmäßigen Eigentümers (Person, Organisation, Firma, IT-System) dieses Schlüssels herstellen. Zertifikate enthalten immer einen Gültigkeitszeitraum und eine Adresse, die mehrere Bestandteile hat und die den Inhaber adressiert. Ein wichtiger Bestandteil dieser Adresse ist der Common Name (CN).

Als Zertifikatsobjekt oder Zertifikat bezeichnen wir hier die Kombination eines digitalen Zertifikats mit einem oder beiden Schlüsseln.

Partner-Zertifikate


Als Partner-Zertifikat bezeichnen wir hier ein Zertifikatsobjekt, das das digitale Zertifikat und nur den öffentlichen Schlüssel enthält, aber nicht den privaten Schlüssel. Die beiden Begriffe Partner-Zertifikat und öffentlicher Schlüssel werden oft gleich bedeutend verwendet.

Eigene Zertifikate


Als eigenes Zertifikat bezeichnen wir hier ein Zertifikatsobjekt, das das digitale Zertifikat und beide Schlüssel (öffentlich und privat) enthält.

Zertifikats-Seriennummer


Zu jedem eigenen Zertifikat (mit privatem und öffentlichem Schlüssel) muss üblicherweise auf dem Partnersystem, mit dem kommuniziert werden soll, ein Partner-Zertifikat (ohne privaten, nur mit öffentlichem Schlüssel) installiert werden. Um beide eindeutig zueinander zuordnen zu können, existiert eine Zertifikats-Seriennummer. In Lobster_data wird die Seriennummer einheitlich als dezimale Ganzzahl dargestellt.

Falls das Zertifikat durch eine offizielle Zertifizierungsstelle signiert wurde, kann die Prüfung der Gültigkeit über das Netz erfolgen. Auch in diesen Fällen existiert ein privater und ein öffentlicher Schlüssel. Das Partner-Zertifikat (nicht das eigene mit dem privaten Schlüssel!) kann aber sorglos über das Netz ausgetauscht werden, weil es durch die Signierung gegen Manipulation geschützt ist. Siehe auch Abschnitt Selbstsigniertes oder durch Zertifizierungsstelle beglaubigtes Zertifikat? Wenn man dem Partner das Partner-Zertifikat zusendet, z. B. per E-Mail, kann er anhand des Fingerprints oder der Prüfsumme sicherstellen, dass es während des Transportes nicht verändert wurde.