Siemens SIMATIC NET SINEC OS v3.0 Projektierungshandbuch Seite 190

Security
7.3 Schlüssel und Zertifikate
7.3.1.5 Selbstsignierte Zertifikate
Selbstsignierte Zertifikate sind Zertifikate, deren Signatur vom Zertifikateinhaber stammt und
nicht von einer unabhängigen Zertifizierungsstelle.
Beispiele:
• Sie können ein Zertifikat erstellen und selbst signieren, um zum Beispiel Nachrichten zu
einem Kommunikationspartner zu verschlüsseln.
Ein Zertifikateinhaber könnte sein Zertifikat selbst mit seinem privaten Schlüssel signieren.
Der Kommunikationspartner kann mit Hilfe des öffentlichen Schlüssels prüfen, dass Signatur
und öffentlicher Schlüssel zusammenpassen. Für eine einfache Anlagen-interne
Kommunikation, die verschlüsselt ablaufen soll, ist das ausreichend. Zum Signieren anderer
Zertifikate, eignen sich selbstsignierte Zertifikat jedoch nicht.
• Bei einem Stammzertifikat handelt es sich z. B. um ein von der Zertifizierungsstelle
(Aussteller) selbstsigniertes Zertifikat, welches den öffentlichen Schlüssel der
Zertifizierungsstelle enthält.
7.3.1.6 Zertifikatskette
Ein digitales Zertifikat bindet eine Identität mit den Daten eines Zertifikatsinhabers an den
öffentlichen Schlüssel der Identität. Das digitale Zertifikat selbst ist wiederum durch eine digitale
Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Zertifikatsaussteller
geprüft werden kann. Um die Identität des Ausstellerschlüssels zu prüfen, wird wiederum ein
digitales Zertifikat benötigt. Auf diese Weise entsteht eine Kette von digitalen Zertifikaten, die
jeweils die Authentizität des öffentlichen Schlüssels bestätigen, mit dem das vorhergehende
Zertifikat geprüft werden kann. Eine solche Kette von Zertifikaten wird Zertifikatskette genannt.
Zertifikate sind hierfür hierarchisch organisiert:
• Stammzertifikate
An der Spitze der Hierarchie stehen Stammzertifikate, auch Wurzelzertifikate oder Root-
Zertifikate genannt. Das sind Zertifikate, die nicht durch eine weitere Instanz beglaubigt
werden müssen. Sie werden von einer zuverlässigen Zertifizierungsstelle (Certificate
Authority) ausgestellt. Zertifikatsinhaber und Zertifikatsaussteller von Stammzertifikaten
sind identisch. Stammzertifikate genießen absolutes Vertrauen, sie sind der "Anker" des
Vertrauens und müssen deshalb beim Empfänger als vertrauenswürdige Zertifikate bekannt
sein. Die Kommunikationspartner müssen sich auf die Echtheit dieses Zertifikates ohne ein
weiteres Zertifikat verlassen können.
• Zwischenzertifikate
Stammzertifikaten werden dazu verwendet, Zertifikate von untergeordneten
Zertifizierungsstellen, sogenannte Zwischenzertifikate, zu signieren. Damit überträgt sich
das Vertrauen vom Stammzertifikat auf das Zwischenzertifikat. Ein Zwischenzertifikat kann
genauso gut ein Zertifikat signieren wie ein Stammzertifikat, daher werden beide auch "CA-
Zertifikate" genannt.
• Anwenderzertifikate
Diese Hierarchie lässt sich über mehrere Zwischenzertifikate weiterführen bis zum
Anwenderzertifikat, auch End-Entity Zertifikat genannt. Das Anwenderzertifikat ist das
Zertifikat der Identität, die identifiziert werden soll.
Die Kette von Zwischenzertifikaten bis zum Stammzertifikat muss in der korrekten
Reihenfolge in jedem Gerät vorhanden sein, das das Anwenderzertifikat eines
Kommunikationspartners validieren soll.
190
Web User Interface (Web UI) SINEC OS v3.0
Projektierungshandbuch, 04/2024, C79000-G8900-C680-03