Einführung in die Funktionsweise digitaler Zertifikate

Ein digitales Zertifikat ist Teil eines kryptografisch gesicherten Verfahrens mit dessen Hilfe sich der Besitzer des Zertifikats identifizieren kann. Mit Zertifikaten kann man zum Beispiel E-Mails unterschreiben oder sich auf Portalen einloggen — vorausgesetzt das E-Mail-Programm bzw. Portal unterstützt Zertifikate.

Die von uns erstellten Zertifikate bestehen aus einem öffentlichen und einem privaten Teil. Der öffentliche Schlüssel ermöglicht es jedem, Daten für den Inhaber des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private Schlüssel ermöglicht es seinem Inhaber, digitale Signaturen zu erzeugen, sich zu authentisieren oder für ihn verschlüsselte Daten zu entschlüsseln. In der Regel wird der öffentliche Schlüssel nach seiner Erstellung veröffentlicht — z.B. auf einem Key-Server.

Da sich im Prinzip jeder selbst Schlüsselpaare mit fast beliebigem Inhalt erzeugen kann, wird eine weitere Komponente benötigt, um die Identität des Schlüsselbesitzers abschließend sicherzustellen. Hierzu wird der öffentliche Schlüssel des Nutzers von einer Zertifizierungsstelle (CA — Certificate Authority) unterschrieben. Vor der Unterschrift überprüft die zugehörige Registration Authority (RA) die Identität des Nutzers, zum Beispiel anhand des Personalausweises. Die Unterschrift der CA kann in der gleichen Weise mittels des öffentlichen Schlüssels der CA geprüft werden. Die Echtheit der CA selbst wird wieder durch eine Unterschrift der nächst höheren Zertifizierungsinstanz sichergestellt. Dies setzt sich solange fort, bis man das oberste Wurzelzertifikat erreicht hat. Wenn man nun dem Anbieter des Wurzelzertifikats und der Zertifikatkette vertraut, dann kann man einen Nutzer eindeutig identifizieren. Die so entstandene Zertifikatkette wird auch als "Chain of Trust" bezeichnet.

Bitte schützen Sie Ihren privaten Schlüssel

Wenn nun jemand in den Besitz Ihres privaten Schlüssels gelangt, kann er in Ihrem Namen Mails schreiben oder sich auf Portalen und Servern in Ihren Account einloggen. Daher ist es entscheidend, dass Sie den privaten Teil Ihres Schlüssel möglichst gut schützen.

Zum einen sollten Sie eine gutes Passwort für Ihren Keystore verwenden. Der Keystore ist der Ort, an dem Ihr Schlüssel lokal gespeichert ist. Ohne das Passwort kann niemand den privaten Schlüssel aus dem Keystore entnehmen.

Zum anderen sollten Sie Ihren privaten Schlüssel nur an sicheren Orten speichern - z.B. auf einem nur Ihnen zugänglichen USB-Stick oder besser noch auf einem Crypto-Stick. Öffentlich zugängliche Home-Verzeichnisse, z.B. Unix NFS- oder Windows Active-Directory-Server, sind KEIN guter Ort zum Speichern des Zertifikats. Leider ist es jedoch in der Praxis manchmal nicht vermeidbar, den privaten Schlüssel an einem weniger sicheren Ort zu speichern. Wenn Sie z.B. unsere Pool-Computer und dort den Firefox-Keystore verwenden, dann landen die Schlüssel automatisch in dem NFS-Homeverzeichnis (Linux Pools) oder auf dem Active-Directory-Server (Windows Pools). Um so mehr ist es dann wichtig, dass Sie den Keystore mit einem vernünftigen Passwort absichern.

Sollte trotz aller Vorsichtsmaßnahmen Ihr Zertifikat kompromittiert werden, können Sie Ihr Zertifikat zurückrufen. Dies geschieht in der Regel dort, wo Sie das Zertifikat auch beantragt haben. Die so deaktivierten Zertifikate werden in sogenannten "Certificate Revocation Lists" (CRLs) durch die Zertifizierungsstellen bekannt gegeben. Alle ordentlich konfigurierten Systeme (E-Mail-Programme, Portal-Server, Login-Server) berücksichtigen bei der Überprüfung von Zertifikaten die Einträge der CRLs.

Wenn Sie Ihren privaten Schlüssel verlieren bzw. wenn Sie Ihr Keystore-Passwort vergessen, dann führt das zwingend zum Verlust aller mit Ihrem öffentlichen Zertifikat verschlüsselter Dateien und E-Mails. Sie sollten daher unbedingt ein Backup Ihres privaten und öffentlichen Schlüssels (am besten im pkcs12 Format mit Endung .p12) erstellen, sobald Sie den signierten Teil Ihres Schlüssel importiert haben.

Wir bieten DFN Global- und Grid-Zertifikate an

Unsere Zertifizierungsstelle erstellt im Namen des DFNs (Deutsches-Forschungs-Netz) Zertifikate des Typs "Global" und "Grid". Bitte beachten Sie, dass elektronische Unterschriften mittels der von uns erstellten Zertifikate NICHT rechtsverbindlich sind.

Die Global-Zertifikate sind 3 Jahre gültig und werden z.B. zum Signieren von E-Mails eingesetzt. Der große Vorteil der Global-Zertifikate ist, dass ihre Key-Chain in den meisten neueren Browsern und E-Mail-Programmen bereits enthalten ist. Daher funktioniert die Überprüfung der Sender-Identität in der Regel automatisch. Die Key-Chain der DFN Global-Zertifikate stammt von dem "Wurzelzertifikat Deutsche Telekom Root CA 2" ab. Wenn Sie ein Global-Zertifikat beantragen möchten, dann lesen Sie bitte unsere "DFN Global Zertifikat" Dokumentation.

Im Gegensatz dazu ist die Key-Chain der DFN Grid-Zertifikate weder Teil der Browser noch Teil der E-Mail-Programme. Sie muss daher in jedem Programm manuell importiert werden. Grid-Zertifikate sind ein Jahr gültig und werden ausschließlich im Zusammenhang mit Grid-Computing (HPC - High Performance Computing) zur Authentifizierung von Nutzern eingesetzt. Wenn Sie ein Grid-Zertifikat beantragen möchten, dann lesen Sie bitte unsere "DFN Grid Zertifikat" Dokumentation.