Wie funktioniert eine Certificate Chain?
Hallo,
Ich frage mich gerade wie eine Certificate chain / Zertifikat Kette funktioniert.
Bei einem Zertifikat verstehe ich das PKI/Private-Public Key Konzept:
- Es gibt eine Schlüsselpaar: Private & Public Key
- Ich kann etwas mit dem Privaten Key Signieren
- Ich kann mit dem Public Key verifizieren das etwas mit dem Private Key signiert wurde
Wie funktioniert dies jetzt aber in Ketten?
Wenn ich also mit dem Client Private Key etwas signiere, kann ich dann WIE verifizieren, das dieser Client Private Key vom Root Private Key signiert wurde (oder wie sieht das aus)?
Funktioniert dies über einen Mathematischen Mechanismus (wie bei einem einfachen Private-Public Key pair) oder ist es hier eine logische doppele Überprüfung über zusätzliche information? Wie?
1 Antwort
Eine Zertifikatskette funktioniert im Prinzip genau so. Nur der Vertrauensanker ist weiter entfernt.
Schau Dir mal das Zertifikat von gutefrage.net an:
*.gutefrage.net -> Thawte -> Digicert Global Root CA
Das ist eine Zertifikatskette. Dein Rechner vertraut Digicert Global Root CA. Diese CA ist als vertrauenswürdig auf Deinem Rechner vorinstalliert.
Dein Rechner ruft nun gutefrage.net auf. Der Webserver gutefrage.net liefert die komplette Zertifikatskette aus, mindestens aber das eigene Zertifikat und das Zwischenzertifikat von Thawte.
Dein Rechner kann nun das Zertifikat von Thawte prüfen: Die Signatur wurde mit dem privaten Schlüssel von Digicert erstellt, der Rechner prüft mittels öffentlichem Schlüssel von Digicert. Damit vertraut der Rechner nun auch Thawte. Das Zertifikat von gutefrage.net wurde mit dem privaten Schlüssel von Thawte signiert. Diese Signatur kann nun mit dem öffentlichen Schlüssel, der sich ja in der vom Server mitgelieferten Zertifikatskette befindet, verifiziert werden.
Die Zertifikatskette von gutefrage.net sieht konkret so aus:
Certificates (2736 bytes)
Certificate Length: 1565
Certificate: 3082061930820501a00302010202100ea4ff4a99cb0fb236… (id-at-commonName=*.gutefrage.net)
Certificate Length: 1165
Certificate: 3082048930820371a0030201020210025a8aef196f7e0d6c… (id-at-commonName=Thawte RSA CA 2018,id-at-organizationalUnitName=www.digicert.com,id-at-organizationName=DigiCert Inc,id-at-countryName=US)