Siehe auch [[ADCS]], [[OpenSSL]], [[CA]] mit OpenSSL, [[kryptographie|Kryptographie]], [[Step CA]], [[OCSP]], [[x509]]

|Public-Key-Infrastruktur (PKI)|Sicherheitsarchitektur, bei der Vertrauen durch die Signatur einer vertrauenswürdigen Zertifizierungsstelle vermittelt wird.|
|Zertifizierungsstelle (CA)|Entität, die Zertifikate und CRLs ausstellt.|
|Registrierungsbehörde (RA)|Entität, die die PKI-Registrierung handhabt. Kann mit der Zertifizierungsstelle identisch sein.|
|Zertifikat|Öffentlicher Schlüssel und ID, die durch eine CA-Signatur gebunden sind.|
|Zertifikatsignieranforderung (CSR)|Anforderung zur Zertifizierung. Enthält den öffentlichen Schlüssel und die zu zertifizierende ID.|
|Zertifikatsperrliste (CRL)|Liste widerrufener Zertifikate. Wird in regelmäßigen Abständen von einer Zertifizierungsstelle ausgestellt.|
|Erklärung zur Zertifizierungspraxis (CPS)|Dokument, das die Struktur und Prozesse einer Zertifizierungsstelle beschreibt.|

=====Certificate Authority (CA)=====

|Stammzertifizierungsstelle|CA an der Wurzel einer PKI-Hierarchie. Stellt nur CA-Zertifikate aus.|
|Mittlere CA|CA unterhalb der Stamm-CA, aber keine signierende CA. Stellt nur CA-Zertifikate aus.|
|Signierende Zertifizierungsstelle|CA am unteren Ende einer PKI-Hierarchie. Stellt nur Benutzerzertifikate aus.|

=====Zertifikate=====

|CA-Zertifikat|Zertifikat einer Zertifizierungsstelle. Wird zum Signieren von Zertifikaten und CRLs verwendet.|
|Stammzertifikat|Selbstsigniertes CA-Zertifikat an der Wurzel einer PKI-Hierarchie. Dient als Vertrauensanker der PKI.|
|Cross-Zertifikat|CA-Zertifikat, das von einer Zertifizierungsstelle außerhalb der primären PKI-Hierarchie ausgestellt wird. Es dient der Verbindung zweier PKIs und wird daher üblicherweise paarweise eingesetzt.|
|Benutzerzertifikat|Endentitätszertifikat, das für einen oder mehrere Zwecke ausgestellt wird: E-Mail-Schutz, Server-Authentifizierung, Client-Authentifizierung, Codesignatur usw. Ein Benutzerzertifikat kann keine anderen Zertifikate signieren.|

=====Dateiformate=====

|Privacy Enhanced Mail (PEM)|Textformat. Base-64-kodierte Daten mit Kopf- und Fußzeilen. Bevorzugtes Format in OpenSSL und den meisten darauf basierenden Programmen (z. B. Apache mod_ssl, stunnel).|
|Distinguished Encoding Rules (DER)|Binärformat. Bevorzugtes Format in Windows-Umgebungen. Auch das offizielle Format für den Internet-Download von Zertifikaten und CRLs.|

=====MIME Types=====

<code>
application/pkcs8                   .p8  .key
application/pkcs10                  .p10 .csr
application/pkix-cert               .cer
application/pkix-crl                .crl
application/pkcs7-mime              .p7c

application/x-x509-ca-cert          .crt
application/x-x509-user-cert        .crt
application/x-pkcs7-crl             .crl

application/x-pem-file              .pem
application/x-pkcs12                .p12 .pfx

application/x-pkcs7-certificates    .p7b .spc
application/x-pkcs7-certreqresp     .p7r
</code>

=====Links=====

  * [[https://www.youtube.com/watch?v=6h6gfLtRzqs|Setting up two-tier CA (Certificate Authority) using OpenSSL]]