Aufbau Von Zertifikaten; Zielanwendung - LANCOM LCOS 9.00 Referenzhandbuch

Beim VPN-Verbindungsaufbau über Zertifikate müssen sich die beiden Gegenstellen authentifizieren. In den Zertifikaten
können dabei weitere Info-Elemente enthalten sein, die zur Prüfung der Gegenstellen herangezogen werden. Die
zeitliche Befristung der Zertifikate gibt zusätzlichen Schutz z. B. bei der Vergabe an Anwender, die nur vorübergehend
Zugang zu einem Netzwerk erhalten sollen.
1 Unterstützung von Tokens und Smartcards
Mit der Auslagerung der Zertifikate auf externe Datenträger gelingt auch die Integration in „Strong
Security"-Umgebungen, das Auslesen von Kennwörtern aus Computern oder Notebooks wird verhindert.
Den Vorteilen von Zertifikaten steht allerdings der höhere Aufwand für die Einführung und Pflege einer Public Key
Infrastructure (PKI) gegenüber.

10.7.3 Aufbau von Zertifikaten

Inhalte
Um seinen Aufgaben gerecht werden zu können, enthält ein Zertifikat diverse Informationen. Einige davon sind
verpflichtend, andere sind optional. Es gibt verschiedene Formate, in denen ein Zertifikat gespeichert werden kann. Ein
Zertifikat nach dem X.509-Standard beinhaltet z. B. folgende Informationen:
1 Version: Dieser Eintrag enthält die Version des X.509-Standards. Die derzeit (06/2005) aktuelle Version ist 'v3'.
1
Serial Number: Eine eindeutige Seriennummer, über die ein Zertifikat identifiziert werden kann.
1 Signature Algorithm: Identifiziert den Algorithmus, mit dem der Aussteller das Zertifikat unterschreibt. Außerdem
findet sich hier die digitale Unterschrift des Ausstellers.
1 Validity: Zertifikate sind zeitlich begrenzt gültig. Validity enthält Informationen über die Dauer.
1
Issuer: Daten zur Identifizierung des Ausstellers, z. B. Name, Email-Adresse, Nationalität etc.
1 Subject: Daten zur Identifizierung des Eigentümers des Zertifikates, z. B. Name, Institution, Email-Adresse, Nationalität,
Stadt etc.
1 Subject Public Key: Informationen, welches Verfahren zum Generieren des öffentlichen Schlüssels des Zertifikatsinhabers
verwendet wurde. Außerdem findet sich unter diesem Punkt der Public Key des Eigentümers.

Zielanwendung

Bei der Erstellung der Zertifikate wird üblicherweise ausgewählt, für welchen Zweck die Zertifikate eingesetzt werden
können. Manche Zertifikate sind gezielt nur für Webbrowser oder E-Mail-Übertragung gedacht, andere sind allgemein
für beliebige Zwecke einsetzbar.
5
Achten Sie bei der Erstellung der Zertifikate darauf, dass sie für den gewünschten Zweck ausgestellt werden.
Formate
Für die Form der Zertifikate ist der ITU-Standard X.509 weit verbreitet. In Textdarstellung sieht ein solches Zertifikat z. B.
wie folgt aus:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: md5WithRSAEncryption
Issuer: CN=CA/Email=ca@trustme.dom, OU=Certificate Authority, O=TrustMe Ltd, ST=Austria,
L=Graz, C=XY,
Validity
Not Before: Oct 29 17:39:10 2000 GMT
Not After : Oct 29 17:39:10 2001 GMT
Subject: CN=anywhere.com/Email=xyz@anywhere.com, OU=Web Lab, O=Home, L=Vienna, ST=Austria,
C=DE
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Referenzhandbuch
10 Virtual Private Networks - VPN
581