Rausgepickt aus der Online-Hilfe des certmgr.msc auf WindowsXP. Gebrochene Links sind bekannt. Muss das noch aufbereiten - sorry.

Übersicht über Zertifikate

Zertifikate

Ein Zertifikat fu¨r o¨ffentliche Schlu¨ssel, das meist nur als Zertifikat bezeichnet wird, ist eine digital signierte Anweisung, mit der der Wert eines o¨ffentlichen Schlu¨ssels an die Identita¨t des Benutzers, Gera¨ts oder Dienstes gebunden ist, der bzw. das den entsprechenden privaten Schlu¨ssel besitzt. Die meisten Zertifikate beruhen auf dem Standard fu¨r X.509v3-Zertifikate. Ausfu¨hrliche Informationen zur Verschlu¨sselung mit o¨ffentlichen Schlu¨sseln finden Sie unter Ressourcen: Infrastruktur o¨ffentlicher Schlu¨ssel.

Zertifikate ko¨nnen fu¨r eine Reihe von Funktionen ausgestellt werden. Dazu geho¨ren z. B. Webbenutzerauthentifizierung, Webserverauthentifizierung, sichere E-Mail-Nachrichten (S/MIME (Secure/Multipurpose Internet Mail Extensions)), IPSec (Internet Protocol Security), TLS (Transport Layer Security) und Codesignatur. Zertifikate werden auch zum Erstellen einer Zertifizierungshierarchie von einer Zertifizierungsstelle an eine andere ausgestellt.

Der Empfa¨nger des Zertifikats ist der Antragsteller des Zertifikats. Die Stelle, die das Zertifikat ausstellt und signiert, wird als Zertifizierungsstelle bezeichnet.

In der Regel enthalten Zertifikate folgende Informationen:

• Wert des o¨ffentlichen Schlu¨ssels des Antragstellers
• Informationen zur Identifizierung des Antragstellers, z. B. Name und E-Mail-Adresse
• Gu¨ltigkeitsdauer (der Zeitraum, in dem das Zertifikat gu¨ltig ist)
• Informationen zur Ausstellerkennung
• Die digitale Signatur des Ausstellers, die die Gu¨ltigkeit der Bindung zwischen dem o¨ffentlichen Schlu¨ssel und den Identifizierungsinformationen des Antragstellers besta¨tigt.

Ein Zertifikat ist nur fu¨r die im Zertifikat angegebene Dauer gu¨ltig. Jedes Zertifikat entha¨lt die Datumsangaben Gu¨ltig ab und Gu¨ltig bis, die die Grenzen der Gu¨ltigkeitsdauer festlegen. Wenn die Gu¨ltigkeitsdauer eines Zertifikats abgelaufen ist, muss ein neues Zertifikat vom Antragsteller des abgelaufenen Zertifikats beantragt werden.

Wenn es no¨tig ist, die in einem Zertifikat besta¨tigte Bindung ru¨ckga¨ngig zu machen, kann ein Zertifikat durch den Aussteller gesperrt werden. Jeder Aussteller verwaltet eine Zertifikatssperrliste, die von Programmen beim U¨berpru¨fen der Gu¨ltigkeit eines Zertifikats verwendet werden kann.

Einer der Hauptvorteile von Zertifikaten ist, dass Hosts fu¨r einzelne Antragsteller nicht la¨nger eine Gruppe von Kennwo¨rtern verwalten mu¨ssen, die vor dem Zugriff authentifiziert werden mu¨ssen. Stattdessen wird lediglich eine Vertrauensstellung zwischen Host und Zertifikatsausteller hergestellt.

Wenn ein Host, z. B. ein sicherer Webserver, einen Aussteller als vertrauenswu¨rdige Stammzertifizierungsstelle ausweist, vertraut der Host den Richtlinien, die der Aussteller zum Herstellen der Bindungen fu¨r die Zertifikate verwendet hat, die er ausgibt. Tatsa¨chlich vertraut der Host darauf, dass der Aussteller die Identita¨t des Zertifikatsantragstellers u¨berpru¨ft. Ein Host weist einen Aussteller als vertrauenswu¨rdige Stammzertifizierungsstelle aus, indem er das vom Aussteller selbstsignierte Zertifikat, das den o¨ffentlichen Schlu¨ssel des Ausstellers entha¨lt, im Zertifikatspeicher der vertrauenswu¨rdigen Stammzertifizierungsstelle auf dem Hostcomputer platziert. Tempora¨re oder untergeordnete Zertifizierungsstellen sind nur vertrauenswu¨rdig, wenn sie u¨ber einen gu¨ltigen Zertifizierungspfad von einer vertrauenswu¨rdigen Stammzertifizierungsstelle verfu¨gen.

Weitere Informationen zu Zertifikaten finden Sie unter Grundlegendes zu Zertifikaten.

Verwenden von Zertifikaten

Zertifikate werden im Allgemeinen verwendet, um eine Identita¨t einzurichten und Vertrauensstellungen fu¨r den sicheren Austausch von Informationen zu erstellen. Daher ko¨nnen Zertifizierungsstellen Zertifikate fu¨r Benutzer, Gera¨te (z. B. Computer) und Dienste, die auf Computern ausgefu¨hrt werden (z. B. IPSec), ausstellen.

In bestimmten Situationen mu¨ssen Computer Informationen mit einem hohen Maß an Vertrauen in die Identita¨t der anderen Gera¨te, Dienste oder Personen, die an der Transaktion beteiligt sind, austauschen ko¨nnen. In bestimmten Situationen mu¨ssen Benutzer Informationen mit einem hohen Maß an Vertrauen in die Identita¨t der anderen Personen, Computer oder Dienste, die an der Transaktion beteiligt sind, austauschen ko¨nnen. Anwendungen und Dienste, die auf Computern ausgefu¨hrt werden, mu¨ssen ebenfalls ha¨ufig u¨berpru¨fen, dass sie auf Informationen von einer vertrauenswu¨rdigen Quelle zugreifen.

In Situationen, in denen zwei Entita¨ten (z. B. Gera¨te, Personen oder Anwendungen bzw. Dienste) versuchen, eine Identita¨t und Vertrauensstellung einzurichten, ermo¨glicht die Tatsache, dass beide Instanzen derselben Zertifizierungsstelle vertrauen, das Einrichten der Identita¨t und Vertrauensstellung zwischen beiden. Wenn der Antragsteller eines Zertifikats ein von einer vertrauenswu¨rdigen Zertifizierungsstelle ausgestelltes Zertifikat pra¨sentiert hat, kann die Entita¨t, die eine Vertrauensstellung einzurichten versucht, mit dem Informationsaustausch fortfahren. Dabei wird das Zertifikat des Zertifikatantragstellers im eigenen Zertifikatspeicher gespeichert und ggf. ein Sitzungsschlu¨ssel mit dem o¨ffentlichen Schlu¨ssel des Zertifikats verschlu¨sselt, damit die gesamte nachfolgende Kommunikation mit dem Antragsteller des Zertifikats sicher ist.

Wenn Sie z. B. Onlinebanking u¨ber das Internet ausfu¨hren, mu¨ssen Sie die Gewissheit haben, dass der Webbrowser direkt und gesichert mit dem Webserver der Bank kommuniziert. Der Webbrowser muss eine Webserverauthentifizierung durchfu¨hren, bevor eine sichere Transaktion mo¨glich ist. Das heißt, der Webserver muss dem Webbrowser seine Identita¨t beweisen ko¨nnen, bevor die Transaktion fortgesetzt werden kann. Microsoft Internet Explorer verwendet wie die meisten modernen Webbrowser und Webserver SSL (Secure Sockets Layer), um Nachrichten zu verschlu¨sseln und sicher u¨ber das Internet zu senden.

Wenn Sie mit einem SSL-fa¨higer Browser eine Verbindung mit einem Webserver fu¨r Onlinebanking herstellen, der ein Serverzertifikat von einer Zertifizierungsstelle wie etwa Verisign aufweist, passiert Folgendes:

• Sie rufen die Anmeldeseite fu¨r das Onlinebanking im Webbrowser auf. Wenn Sie Internet Explorer verwenden, wird in der unteren rechten Ecke der Statusleiste des Browsers ein Schlosssymbol angezeigt. Dies bedeutet, dass der Browser mit einer sicheren Website verbunden ist. Andere Browser stellen sichere Verbindungen mit anderen Symbolen dar.
• Der Webserver der Bank sendet automatisch ein Serverzertifikat an den Webbrowser.
• Zum Authentifizieren des Webservers u¨berpru¨ft der Webbrowser den Zertifikatspeicher auf dem Computer. Wenn die Zertifizierungsstelle, die das Zertifikat fu¨r die Bank ausgestellt hat, vertrauenswu¨rdig ist, kann die Transaktion fortgesetzt werden, und das Bankzertifikat wird im Zertifikatspeicher gespeichert.
• Um die gesamte Kommunikation mit dem Webserver der Bank zu verschlu¨sseln, erstellt der Webbrowser einen eindeutigen Sitzungsschlu¨ssel. Der Webbrowser verschlu¨sselt den Sitzungsschlu¨ssel mit dem Webserverzertifikat der Bank, so dass nur der Webserver der Bank die vom Browser gesendeten Nachrichten lesen kann. (Einige dieser Nachrichten enthalten Ihren Anmeldenamen und Ihr Kennwort sowie weitere sicherheitsrelevante Daten, weshalb dieses Maß an Sicherheit erforderlich ist.)
• Die sichere Sitzung wird eingerichtet und sicherheitsrelevante Informationen ko¨nnen zwischen dem Webbrowser und dem Webserver der Bank auf sichere Weise gesendet werden.

Mit Zertifikaten ko¨nnen Sie außerdem die Echtheit von Softwarecode u¨berpru¨fen, den Sie aus dem Internet downloaden, vom Firmenintranet installieren oder auf CD-ROM kaufen und auf dem Computer installieren. Unsignierte Software, d. h. Software ohne gu¨ltiges Zertifikat des Softwareherstellers, kann ein Sicherheitsrisiko fu¨r den Computer und die darauf gespeicherten Daten darstellen.

Wenn Software mit einem gu¨ltigen Zertifikat von einer vertrauenswu¨rdigen Zertifizierungsstelle signiert ist, wissen Sie, dass der Softwarecode nicht manipuliert wurde und bedenkenlos auf dem Computer installiert werden kann. Wa¨hrend der Softwareinstallation werden Sie aufgefordert, zu besta¨tigen, ob Sie dem Softwarehersteller vertrauen (z. B. Microsoft Corporation). Daru¨ber hinaus haben Sie eventuell die Mo¨glichkeit, Softwareinhalt von diesem speziellen Softwarehersteller stets zu vertrauen. Wenn Sie sich entscheiden, dem Inhalt des Herstellers zu vertrauen, wird das Zertifikat im Zertifikatspeicher gespeichert. Weitere Installationen von Software dieses Herstellers ko¨nnen mit einer bereits bestehenden Vertrauensstellung durchgefu¨hrt werden. Bei einer bestehenden Vertrauensstellung ko¨nnen Sie Software von dem betreffenden Hersteller installieren, ohne dass Sie aufgefordert werden, zu u¨berpru¨fen, ob dieser Hersteller vertrauenswu¨rdig ist. Das Zertifikat auf dem Computer besagt, dass Sie dem Hersteller der Software vertrauen.

Wie bei anderen Zertifikaten ko¨nnen auch die Zertifikate, die zum U¨berpru¨fen der Echtheit von Software und der Identita¨t eines Softwareherstellers verwendet werden, andere Verwendungszwecke haben. Wenn z. B. das Zertifikats-Snap-In absichtlich so konfiguriert ist, dass Zertifikate angezeigt werden, kann der Codesignaturordner ein Zertifikat enthalten, das von der Microsoft-Stammzertifizierungsstelle fu¨r die Microsoft Windows-Hardwarekompatibilita¨t ausgestellt wurde. Dieses Zertifikat erfu¨llt folgende drei Zwecke:

• Es gewa¨hrleistet, dass Software tatsa¨chlich von dem Softwarehersteller stammt.
• Es schu¨tzt Software vor A¨nderungen nach der Vero¨ffentlichung.
• Es ermo¨glicht die U¨berpru¨fung von Windows-Hardwaretreibern.

Verwenden von Zertifikaten in Organisationen

Viele Organisationen installieren eigene Zertifizierungsstellen und stellen Zertifikate fu¨r interne Gera¨te, Dienste und Angestellte aus, um die Sicherheit der EDV-Anlage zu erho¨hen. Große Organisationen ko¨nnen mehrere hierarchisch angeordnete Zertifizierungsstellen mit einer Stammzertifizierungsstelle aufweisen. Ein Angestellter einer Organisation kann deshalb eine Vielzahl von Zertifikaten in seinem Zertifikatspeicher aufweisen, die von verschiedenen internen Zertifizierungsstellen ausgestellt wurden, die alle eine gemeinsame vertrauenswu¨rdige Verbindung u¨ber den Zertifizierungspfad zur Stammzertifizierungsstelle verwenden.

Wenn sich ein Mitarbeiter u¨ber ein virtuelles privates Netzwerk (VPN) am Netzwerk der Organisation anmeldet, kann der VPN-Server zum Einrichten einer Identita¨t ein Serverzertifikat bereitstellen. Da die Stammzertifizierungsstelle der Firma vertrauenswu¨rdig ist und die Stammzertifizierungsstelle der Firma das Zertifikat des VPN-Servers ausgestellt hat, kann der Clientcomputer die Verbindung weiterhin verwenden und die Angestellten wissen, dass ihre Computer mit dem VPN-Server der Organisation verbunden sind.

Der VPN-Server muss auch in der Lage sein, den VPN-Client zu authentifizieren, bevor Daten u¨ber die VPN-Verbindung ausgetauscht werden ko¨nnen. Die Authentifizierung erfolgt entweder auf Computerebene durch den Austausch von Computerzertifikaten oder auf Benutzerebene mithilfe einer PPP (Point-to-Point-Protokoll)-Authentifizierungsmethode. Bei L2TP (Layer-2-Tunneling-Protokoll)/IPSec-Verbindungen sind Computerzertifikate fu¨r den Client und den Server erforderlich.

Das Clientcomputerzertifikat kann mehreren Zwecken dienen, die u¨berwiegend auf Authentifizierung beruhen und es dem Client ermo¨glichen, viele Ressourcen der Organisation zu verwenden, ohne dass fu¨r jede Ressource einzelne Zertifikate erforderlich sind. Das Clientzertifikat ko¨nnte z. B. VPN-Konnektivita¨t sowie den Zugriff auf die Intranetsite der Firma, auf Produktserver und auf die Datenbank der Personalabteilung mit den Mitarbeiterdaten ermo¨glichen.

Das VPN-Serverzertifikat kann auch mehreren Zwecken dienen. Mit diesem Zertifikat kann die Identita¨t von E-Mail-Servern, Webservern oder Anwendungsservern u¨berpru¨ft werden. Die Zertifizierungsstelle, die das Zertifikat ausstellt, bestimmt den Verwendungszweck fu¨r jedes Zertifikat.

Fu¨r Personen ausgestellte Zertifikate

Sie ko¨nnen ein Zertifikat von einer kommerziellen Zertifizierungsstelle erwerben, z. B. Verisign, um perso¨nliche E-Mail-Nachrichten zu senden, die aus Sicherheitsgru¨nden verschlu¨sselt oder als Beweis der Echtheit digital signiert sind.

Wenn Sie ein Zertifikat erworben haben und eine E-Mail-Nachricht damit digital signieren, kann der Nachrichtenempfa¨nger u¨berpru¨fen, ob die Nachricht wa¨hrend der U¨bertragung gea¨ndert wurde und ob sie von Ihnen stammt. Voraussetzung ist allerdings, dass der Empfa¨nger der Nachricht der Zertifizierungsstelle vertraut, die das Zertifikat ausgestellt hat.

Wenn Sie eine E-Mail-Nachricht verschlu¨sseln, kann sie wa¨hrend der U¨bertragung von niemandem gelesen werden, und nur der Empfa¨nger der Nachricht kann sie entschlu¨sseln und lesen.

Zertifikate und Anwendungen

Mit den meisten E-Mail-Clients ko¨nnen Sie E-Mail-Nachrichten automatisch signieren oder verschlu¨sseln oder aber Nachrichten einzeln verschlu¨sseln oder signieren. Microsoft-Anwendungen, die digitale Signaturen oder Verschlu¨sselungen fu¨r E-Mail-Nachrichten ermo¨glichen, sind Microsoft Outlook 2000, Microsoft Outlook Express und Microsoft Outlook 98. Im Folgenden finden Sie Hyperlinks und Informationen zur Verwendung von Zertifikaten bei Microsoft-Anwendungen.

Informationen zu Outlook 2000-Zertifikaten

• Informationen zum Einrichten der Sicherheit fu¨r Internet-E-Mail-Nachrichten in der Microsoft-Website(http://support.microsoft.com/).
• Informationen zum Erhalten einer Kopie des Zertifikats einer anderen Person und u¨ber die erforderlichen Aufgaben vor dem Senden einer verschlu¨sselten E-Mail in Outlook 2000 in der Microsoft-Website(http://officeupdate.microsoft.com/).
• Schrittweise Anleitungen zu o¨ffentlichen Schlu¨sselfunktionen von Outlook 2000 in der Microsoft-Website(http://www.microsoft.com/).

Informationen zu Outlook 98-Zertifikaten:

• Informationen zum Sichern von Nachrichten im Internet in der Microsoft-Website(http://officeupdate.microsoft.com/).

Informationen zu Zertifikaten in Outlook Express 5.x und ho¨her:

• Schrittweise Anleitungen zu o¨ffentlichen Schlu¨sselfunktionen von Outlook Express 5.0 oder ho¨her in der Microsoft-Website(http://www.microsoft.com/).

Informationen zu Internet Explorer-Zertifikaten:

• Schrittweise Anleitungen zu auf o¨ffentlichen Schlu¨sseln basierender Clientauthentifizierung in Internet Explorer in der Microsoft-Website(http://www.microsoft.com/).

Zu den Microsoft-Ressourcen fu¨r Zertifikate za¨hlen auch Artikel in der Knowledge Base:

• Eine Beschreibung von symmetrischer und asymmetrischer Verschlu¨sselung in der Microsoft-Website(http://support.microsoft.com).
• Informationen zum Beitreten fu¨r DSS-Zertifikate in der Microsoft-Website(http://support.microsoft.com).

Anmerkung

• XOX

Importieren und Exportieren von Zertifikaten

Wenn Sie Zertifikate auf anderen Computern verwenden mo¨chten, ko¨nnen Sie diese fu¨r den Import auf andere Computern exportieren. Weitere Informationen finden Sie unter Importieren und Exportieren von Zertifikaten und Import und Export von Zertifikaten.

Zertifikatspeicher

Fu¨r die im Zertifikatspeicher vorhandenen Zertifikate auf dem Computer gibt es vier grundlegende Quellen:

• Das Zertifikat ist im Lieferumfang von Windows XP enthalten und ist auf der Windows XP-CD gespeichert.
• Sie verwenden eine Anwendung, z. B. einen Internetbrowser fu¨r eine SSL-Sitzung, in deren Verlauf nach dem Herstellen einer Vertrauensstellung Zertifikate auf dem Computer gespeichert werden.
• Sie haben ein Zertifikat explizit akzeptiert, z. B. wenn Sie Software installieren oder eine verschlu¨sselte oder digital signierte E-Mail von anderen Benutzern erhalten.
• Sie fordern ein Zertifikat von einer Zertifizierungsstelle an, z. B. ein Zertifikat fu¨r den Zugriff auf bestimmte Ressourcen einer Organisation.

Durch die Verwendung des Internets und den Zugriff auf Server, die Zertifikate zur Authentifizierung und zu anderen Zwecken verwenden, sammeln sich im Laufe der Zeit Eintra¨ge im Zertifikatspeicher des Computers an. Einige Zertifikate haben nur eine einzige Aufgabe, z. B. die Server- oder die Clientauthentifizierung, wa¨hrend andere Zertifikate mehrere Aufgaben haben. Die Zertifizierungsstelle, die das Zertifikat ausstellt, bestimmt den Verwendungszweck bzw. die Verwendungszwecke fu¨r das jeweilige Zertifikat.

Zwar speichern Internet Explorer und Windows Zertifikate in demselben Zertifikatspeicher, sie ermo¨glichen jedoch unterschiedliche Darstellungen der Zertifikatspeicher. Weitere Informationen finden Sie unter So zeigen Sie Sicherheitszertifikate an in der Internet Explorer-Hilfe und Festlegen der Anzeigeoptionen fu¨r das Zertifikats-Snap-In in der Hilfe zu Zertifikate.

Mit dem Zertifikats-Snap-In ko¨nnen Sie Zertifikate nach dem logischen Speicher oder nach dem Zweck anzeigen. Wenn Sie Zertifikate nach dem Zweck anzeigen, wird ein Zertifikat mit mehreren Zwecken in jedem Ordner aufgefu¨hrt, der einen mo¨glichen Verwendungszweck fu¨r das Zertifikat definiert. Weitere Informationen zur Anzeige von Zertifikatspeichern im Zertifikats-Snap-In finden Sie in Zertifikatspeicher.

Zertifikat-Snap-In

Mit dem Zertifikats-Snap-In ko¨nnen Sie Zertifikate fu¨r Benutzer, Computer oder Dienste verwalten.

Sie ko¨nnen Zertifikate in Zertifikatspeichern suchen, diese anzeigen und importieren bzw. exportieren. In der Regel mu¨ssen Benutzer ihre Zertifikate und Zertifikatspeicher jedoch nicht verwalten. Diese Aufgabe kann von Administratoren ausgefu¨hrt werden oder mithilfe von Richtlinieneinstellungen oder durch Programme, die Zertifikate verwenden.

Das Zertifikats-Snap-In wird hauptsa¨chlich von Administratoren verwendet. Diese ko¨nnen sowohl fu¨r ihren eigenen Zertifikatspeicher als auch fu¨r die Zertifikatspeicher aller Computer oder Dienste, zu deren Verwaltung sie berechtigt sind, umfangreiche Zertifikatverwaltungsaufgaben durchfu¨hren.

copyright by retoh - created with mytexi