Übersicht über das Erstellen digitaler Zertifikate

Wenn Sie digitale Zertifikate zum Ausführen von Tests für Anwendungen verwenden möchten, bei denen clientseitige digitale Zertifikate für die Benutzerauthentifizierung erforderlich sind, fragen Sie die zuständigen Serveradministratoren, welche Zertifikatstypen erstellt werden müssen.

Im Rahmen der Verschlüsselung ist ein Public-Key-Zertifikat ein Dokument, das eine digitale Signatur verwendet, um einen öffentlichen Schlüssel an eine physische Identität zu binden. Diese Zertifikate werden häufig allgemein als digitale Zertifikate oder digitale Clientzertifikate bezeichnet. Der gängigste Standard für digitale Zertifikate ist der Standard X.509.

In der Public-Key-Verschlüsselung sind jedem Zertifikat zwei Schlüssel zugeordnet: ein öffentlicher Schlüssel und ein privater Schlüssel. Der öffentliche Schlüssel ist in das X.509-Zertifikat eingebunden und stets mit dem Zertifikat selbst verfügbar. Der private Schlüssel bleibt immer privat (das heißt, er wird nie übertragen). Damit die Übertragbarkeit einfacher wird, können die beiden Schlüssel (und das Zertifikat) in ein einziges verschlüsseltes und kennphrasengeschütztes Format, PKCS#12, eingeschlossen werden.

Zur Bestätigung der Authentizität eines Zertifikats wird es digital durch ein anderes Zertifikat, eine sogenannte Zertifizierungsstelle, signiert. Dieses Zertifikat kann von einem Unternehmen erstellt (und geschützt) werden, das eine sichere Anwendung hostet, oder von einem Unternehmen wie Versign erstellt werden.

Wenn für eine Webanwendung digitale Zertifikate erforderlich sind, erstellt ein Administrator üblicherweise digitale Zertifikate für alle berechtigten Benutzer. Der Administrator signiert alle Zertifikate digital mit dem Zertifizierungsstellenzertifikat des Systems. Diese Zertifikate werden zusammen mit den öffentlichen und privaten Schlüsseln an die Benutzer verteilt. Diese Schlüssel werden häufig im PKCS#12-Format verteilt. Anschließend können die Benutzer diese Zertifikate in ihre Web-Browser importieren. Wenn der Server eine Anforderung an den Browser sendet, kann dieser sein Zertifikat "vorlegen".

Wenn Sie Zertifikate für Webanwendungen importieren, müssen Sie das Markierungsfeld aktivieren, das anzeigt, dass die Schlüssel exportierbar sind. Dies bewirkt, dass das Zertifikat in eine Datei im PKCS#12-Format exportiert werden kann, um später von anderen Programmen verwendet zu werden.

Verwenden Sie Zertifikate, die realen Benutzern zugewiesen sind, nicht für Leistungstests. Verwenden Sie stattdessen Testzertifikate, die keinen realen Benutzern entsprechen.

Für Tests können vier Zertifikatstypen verwendet werden:

Selbst signierte Zertifikate werden verwendet, wenn die Authentizität des Zertifikats nicht von einer Entität bestätigt werden muss. Dies sind die am einfachsten zu erstellenden und zu verwendenden Zertifikate. Normalerweise wird jedoch ein signiertes Zertifikat zur Darstellung eines bestimmten Benutzers verwendet.

Signierte Zertifikate werden verwendet, wenn ein Zertifikat für einen einzigen Benutzer allein erstellt und ausgegeben werden muss. Signierte Zertifikate werden von einer Zertifizierungsstelle signiert.

Zertifikate von einer Zertifizierungsstelle sind selbst signierte Zertifikate, die zum Signieren (Zertifizieren) von Zertifikaten verwendet werden.

Nicht signierte Zertifikate sind Zertifikate, die weder von einer Zertifizierungsstelle noch selbst signiert sind. Bei den meisten Webanwendungen werden keine nicht signierten Zertifikate verwendet.

Wenn Sie ein selbst signiertes oder signiertes Zertifikat (einschließlich Zertifikate von einer Zertifizierungsstelle) erstellen, können Sie ein Subjekt angeben. Das Subjekt eines Zertifikats ist die Gruppe der Attribute eines X.500 DN (Distinguished Name), der im Zertifikat verschlüsselt ist. Anhand des Subjekts kann der Empfänger eines Zertifikats Informationen zum Inhaber des Zertifikats anzeigen. Das Subjekt beschreibt den Zertifikatsinhaber, muss jedoch nicht eindeutig sein. Subjekte sind mit Einträgen in Telefonbüchern vergleichbar. Es kann mehrere Einträge für Patel Agraval geben, wobei sich jedoch jeder Eintrag auf eine andere Person bezieht.

Das Subjekt kann viele verschiedene Typen von Identifizierungsdaten enthalten. Normalerweise enthält das Subjekt Folgendes:

Attribut Beispiel
COMMON NAME (CN) CN=Patel Agrawal
ORGANIZATION (O) O=IBM Corporation
ORGANIZATIONAL UNIT (OU) OU=IBM Software Group
COUNTRY (C) C=IN
LOCALITY (L) L=Bangalore
STATE oder PROVINCE (ST) ST=Kanataka
E-MAIL ADDRESS (emailAddress) emailAddress=agrawal@abc.ibm.com

Diese Informationen können als eine einzige Zeichenfolge eingegeben werden, wobei Schrägstriche zum Trennen der einzelnen Daten verwendet werden.

So wird das oben angegebene Subjekt z. B. wie folgt eingegeben:

/CN=Patel Agrawal/O=IBM Corporation/OU=IBM Software Group/C=IN/L=Bangalore/ST=Karnataka/emailAddress=agrawal@abc.ibm.com

Weitere Informationen zur Verwendung des mitgelieferten Befehlszeilenprogramms zum Erstellen von Zertifikaten finden Sie unter Speicher für digitale Zertifikate erstellen.


Feedback