MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: cdp ceph meshroom pgp traefik mount ca x509
x509

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

X.509 ist ein Standard der ITU-T (International Telecommunication Union - Telecommunication Standardization Sector) für eine Public-Key-Infrastruktur (PKI). Er definiert das Format von digitalen Zertifikaten, die zur sicheren Authentifizierung und Verschlüsselung in Netzwerken verwendet werden, insbesondere bei TLS/SSL, E-Mail-Verschlüsselung und Code-Signierung.

Siehe auch CA, OpenSSL, PKI

Aufbau

Ein X.509-Zertifikat ist in der Regel im DER- (Distinguished Encoding Rules) oder PEM-Format codiert und besteht aus folgenden Feldern:

VersionVersion des Standards (meist v3)
Serial NumberEindeutige Seriennummer des Zertifikats
Signature AlgorithmSignaturalgorithmus, z. B. sha256WithRSAEncryption
IssuerAussteller des Zertifikats (z. B. Zertifizierungsstelle)
ValidityGültigkeitszeitraum (notBefore, notAfter)
SubjectSubjekt des Zertifikats (Identität, z. B. Domainname, Benutzer)
Subject Public Key InfoÖffentlicher Schlüssel und Algorithmus

V3 Extensions

Key UsageVerwendungszweck des Schlüssels (z. B. Digital Signature, Key Encipherment)
Extended Key UsageErweiterte Zwecke (z. B. TLS Web Server Authentication)
Subject Alternative Name (SAN)Zusätzliche Identitäten, z. B. weitere DNS-Namen
CRL Distribution PointsVerweise auf Sperrlisten (CRL)
Authority Key IdentifierIdentifiziert den Schlüssel der ausstellenden CA
Subject Key IdentifierIdentifiziert den öffentlichen Schlüssel des Subjekts
Basic ConstraintsGibt an, ob das Zertifikat eine CA ist und wie tief die Zertifikatskette sein darf

Zertifikatskette (Chain of Trust)

Ein X.509-Zertifikat ist Teil einer Zertifikatskette, die bis zur Root-Zertifizierungsstelle (Root CA) zurückverfolgt werden kann:

  • End Entity (Leaf Certificate) – z. B. www.example.com
  • Intermediate CA – von Root CA signiert, stellt Zertifikate aus
  • Root CA – selbstsigniert, höchste Vertrauensebene

Sperrung von Zertifikaten

Zur Sperrung kompromittierter oder ungültiger Zertifikate gibt es zwei Hauptverfahren:

  • CRL (Certificate Revocation List) – Liste von Seriennummern gesperrter Zertifikate
  • OCSP (Online Certificate Status Protocol) – Online-Abfrage zum Zertifikatsstatus

Anwendungen

X.509-Zertifikate werden verwendet in:

  • TLS/SSL: HTTPS-Webseiten
  • E-Mail-Signierung & Verschlüsselung: S/MIME
  • VPN-Verbindungen: z. B. bei IPsec oder OpenVPN
  • Authentifizierung: z. B. in Smartcards, Betriebssystemen oder SSO-Systemen
  • Code-Signierung: Softwareverteilung, App-Zertifikate
x509.1744452011.txt.gz · Zuletzt geändert: 2025/04/12 12:00 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki