Profile der verwendeten Zertifikate
In der Verwaltungs-PKI werden Zertifikate im X.509v3 Format nach MTTv2 eingesetzt, die Daten über den Gültigkeitszeitraum, den verwendeten Signaturalgorithmus, die Schlüssellänge, den Zertifikatsinhaber und den Aussteller enthalten. Mit den im X.509 definierten Zertifikatserweiterungen kann der Informationsgehalt des Zertifikats um weitere Angaben ergänzt werden. Es werden Extensions, die u. a. Aussagen über den Verwendungszweck oder die Validierungsmöglichkeit machen unterschieden, ob sie von SPHINX-konformen Komponenten ausgewertet werden müssen oder nicht. Für die Extensions "KeyUsage" und "BasicConstraints" ist, sofern Sie im Zertifikat enthalten sind, eine Interpretation Pflicht. Sie werden daher im Zertifikat als "critical" markiert.
Die Extension "BasicConstraints" ermöglicht es Einschränkungen in der PKI festzulegen und stellt sicher, dass nur Zertifizierungsstellen Zertifikate erzeugen können, Teilnehmer dagegen nicht. Weiterhin kann die Länge des Zertifizierungspfades beschränkt werden.
Die Nutzungseigenschaften der öffentlichen Schlüssel werden über die Extension "KeyUsage" definiert. In CA und PCA Zertifikaten werden die Möglichkeiten auf die Attribute "keyCertSign" (Signatur von öffentlichen Schlüsseln) und "cRLSign" (Signatur von Sperrlisten) beschränkt. Endanwenderzertifikate nutzten dagegen die Attribute "digitalSignature" zur Authentisierung, "nonRepudation" zur elektronischen Signatur und "keyEncipherment" zur Verschlüsselung.
Mit der Extension "CertificatePolicies" wird dem Zertifikat die Zertifizierungsrichtlinie (Policy) zugeordnet in der angegeben ist, unter welchen Voraussetzungen bzw. für welche Zwecke Zertifikate innerhalb dieser PKI erzeugt und genutzt werden können.
Die Extension "CRLDistributionPoint" definiert den Ort an dem Sperrlisten zur Prüfung der Gültigkeit des Zertifikats bereitgestellt werden.
Zertifizierungsstellen können gleichzeitig mehrere Schlüssel im Einsatz haben, mit denen Zertifikate und Sperrlisten signiert werden. Durch die Extension "AuthorityKeyIdentifier" können diese Schlüssel voneinander unterschieden werden und die Eindeutigkeit des Zertifizierungspfades sichergestellt werden. Hierzu werden die Angaben Zertifikatsaussteller und Seriennummer des CA-Zertifikates verwendet.
Die Extension "SubjectKeyIdentifier" ermöglicht die Identifizierung eines bestimmten öffentlichen Schlüssels des Zertifikatsinhabers. Sie korrespondiert mit der Angabe in der Extension "AuthorityKeyIdentifier" und vereinfacht die korrekte Bildung des Zertifizierungspfades.
Unter der Extension "SubjectAltName" können dem Zertifikatsinhaber zusätzliche alternative Namen wie E-Mail-Adresse (rfc822) zugeordnet. Damit kann der E-Mail-Client, wenn nötig, verifizieren, ob die Absenderadresse der empfangenen Mail mit einer der im Zertifikat des Absenders angegebenen E-Mail-Adressen übereinstimmt.
- Profil des PCA-Zertifikats (PCA-1-Verwaltung-03)
- Profil des CA-Zertifikats (IVBB-CA 2004)
- Profil des Teilnehmer-Zertifikats
Profil des PCA-Zertifikats
| Zertifikatsfeld | Inhalt | |
|---|---|---|
| Version | V 3 | |
| Seriennummer | 01 | |
| Signaturalgorithmus | SHA-1/RSA | |
| Schlüssellänge | 2048 Bit | |
| Issuer | ||
| Common Name | CN = PCA-1-Verwaltung | |
| Organizational Unit Name | ||
| Organizational Name | O = PKI-1-Verwaltung | |
| Country Name | C = DE | |
| Validity | ||
| not before | Dienstag, 09. Dezember 2003 10:09:58 | |
| not after | Dienstag, 08. Dezember 2009 10:06:39 | |
| Subject | ||
| Common Name | CN = PCA-1-Verwaltung-03 | |
| Organizational Unit Name | ||
| Organizational Name | O = PKI-1-Verwaltung | |
| Country Name | C = DE | |
| Extensions | ||
| Certificate policies | non critical | 1.3.6.1.4.1.7924.1.1 |
| CRLDistributionPoint | non critical | URL=ldap://x500.bund.de/cn=PCA-1-Verwaltung-03,o=PKI-1-Verwaltung,c=de?certificateRevocationListURL=ldap://x500.bund.de/cgi-bin/show_attr?cn=PCA-1-Verwaltung-03&attr=crl |
| Authority Key Identifier | non critical | entfällt; ROOT-Zertifikat |
| Subject Key Identifier | non critical | E40E D411 81CF 376E 3C28 913D 341A B417 4083 4CCA |
| Basic Constraints | critical | Zertifizierungsstelle Pfadlänge = keine |
| Key Usage | critical | CertSign, CRLSign |
| Fingerprint des Zertifikats | SHA1 | 3411 770A 73A6 5C24 28AC BC72 7580 1C3E 6A95 4E6E |
Profil des CA-Zertifikats
| Zertifikatsfeld | Inhalt | |
|---|---|---|
| Version | V 3 | |
| Seriennummer | 196C | |
| Signaturalgorithmus | SHA-1/RSA | |
| Schlüssellänge | 2048 Bit | |
| Issuer | ||
| Common Name | CN = PCA-1-Verwaltung-03 | |
| Organizational Unit Name | ||
| Organizational Name | O = PKI-1-Verwaltung | |
| Country Name | C = DE | |
| Validity | ||
| not before | Dienstag, 16. März 2004 15:16:52 | |
| not after | Donnerstag, 10. April 2008 15:15:49 | |
| Subject | ||
| Common Name | CN = CA IVBB Deutsche Telekom AG 04 | |
| Organizational Unit Name | OU = Bund | |
| Organizational Name | O = PKI-1-Verwaltung | |
| Country Name | C = DE | |
| Extensions | ||
| Certificate policies | non critical | Richtlinien-ID: 1.3.6.1.4.1.7924.1.1 |
| CRLDistributionPoint | non critical | URL=ldap://x500.bund.de/cn=PCA-1-Verwaltung-03,o=PKI-1-Verwaltung,c=de?certificateRevocationListURL=ldap://x500.bund.de/cgi-bin/show_attr?cn=PCA-1-Verwaltung&attr=crl |
| AuthorityKeyIdentifier | non critical | CN=PCA-1-Verwaltung-03, O=PKI-1-Verwaltung, C=deSeriennummer des Zertifikats: 1 |
| Subject Key Identifier | non critical | 6A5E 8BEE DAD4 F135 F6CE 0823 623E 5E1D A2B3 2934 |
| Basic Constraints | critical | Zertifizierungsstelle Pfadlänge = 3 |
| Key Usage | critical | CertSign, CRLSign |
| Fingerprint des Zertifikats | SHA1 | 5D2B 70DD 1AB2 CD69 6B4B 1581 5D5D 1318 7289 1FA0 |
Profil des Teilnehmer-Zertifikats
| Zertifikatsfeld | Inhalt | |
|---|---|---|
| Version | V 3 | |
| Seriennummer | 112B | |
| Signaturalgorithmus | SHA-1/RSA | |
| Schlüssellänge | 1024 Bit | |
| Issuer | ||
| Common Name | CN = CA IVBB Deutsche Telekom AG 03 | |
| Organizational Unit Name | OU = Bund | |
| Organizational Name | O = PKI-1-Verwaltung | |
| Country Name | C = DE | |
| Validity | ||
| not before | Donnerstag, 11. September 2003 11:25:37 | |
| not after | Dienstag, 12. September 2003 01:59:00 | |
| Subject | ||
| Common Name | CN = Max Muster | |
| E = Max.Muster@bsi.bund.de | ||
| Organizational Unit Name | OU = BSI | |
| Organizational Name | O = Bund | |
| Country Name | C = DE | |
| Extensions | ||
| Certificate policies | non critical | 1.3.6.1.4.1.7924.1.1 |
| CRLDistributionPoint | non critical | URL=ldap://x500.bund.de/cn=CA IVBB Deutsche Telekom AG 03,ou=Bund,o=PKI-1-Verwaltung,c=de?certificateRevocationList |
| AuthorityKeyIdentifier | non critical | CN=PCA-1-Verwaltung-02, O=PKI-1-Verwaltung, C=deSeriennummer des Zertifikats: 3E45 D1C3 |
| Basic Constraints | critical | keine |
| Key Usage | critical | Non Requdiantion, DigitalSignature, KeyEncipherment |
| Fingerprint des Zertifikats | SHA1 | 2C2A 83D3 BEE9 790D A1B0 FF28 F134 B5B4 6364 9DFF |
| SubjectAltName | RFC822-Name = Max.Muster@bsi.bund.de | |
- Kurz-URL:
- https://www.bsi.bund.de/dok/6616060