Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo zusammen,

wie kann man den Sinn/Zweck und Funktionsweise einer RootCA beschreiben?

Meine Definition:

Sobald man der Root-CA vertraut, vertraut man auch allen Zertifikaten die unter der Root-CA ausgestellt wurden. Daher muss unbedingt der Fingerprint der RootCA vor Beginn des Verfahrens geprüft werden.

Die RootCA ist die oberste Zertifizierungstelle, der alle anderen Vertrauen.

Vorteil:

-Kompromittierung des privaten Schlüssels entfällt, da die RootCA nach der Erstellung des Private Keys (PK) offline gehen kann.

So ganz zufrieden bin ich damit noch nicht.

Ich hoffe jemand könnte dies ein wenig ergänzen.

Geschrieben

Die RootCA ist die oberste Zertifizierungstelle, der alle anderen Vertrauen.

Das finde ich unglücklich vormuliert. Du kannst ja schließlich mehreren Root-CAs vertrauen, wie das auch dein Browser tut. Du mußt dir nur beim Import einer CA bewußt sein, das du damit allen Zertifikaten, die von dieser CA signiert wurden, vertraust.

Vorteil:

-Kompromittierung des privaten Schlüssels entfällt, da die RootCA nach der Erstellung des Private Keys (PK) offline gehen kann.

Wie meinst du das ? Natürlich kann ich auch den privaten Schlüssel einer Root-CA kompromitieren. Der CA-Verwalter sollte mir das aber entsprechend schwer machen, in dem er den Key sicher, bspw. nur in einem Bankschließfach, aufbewahrt.

Geschrieben

Das ist mir schon klar :)

Aus deiner ursprünglichen Beschreibung klang es nur so, als seien Root-CAs völlig unkompromitierbar. Außerdem weißt du ja nicht, wie der jeweilige Verwalter den Key behandelt...

Geschrieben

Dann habe ich ein wenig unverständlich ausgedrückt, Entschuldigung.

Gibt es sonst noch irgendwelche Vorteile? Muss eine "normale" CA (quasi eine UnterCA von RootCA) das Zertifikat von RootCA besitzen bzw. erweitern, so dass das Zertifikat in etwa so aussieht:

-PKCA

-CA

-SignaturRCA

Oder woran kann ein Empfänger A erkennen, dass die SubCA zur RootCA gehört?

Geschrieben
Oder woran kann ein Empfänger A erkennen, dass die SubCA zur RootCA gehört?

Die Sub-CA wird von der Root-CA signiert, genau wie die "normalen" Zertifikate, die sie evtl. ausstellt. Der Unterschied besteht darin, das das Sub-CA-Zertifikat zum weiteren signieren verwendet werden kann, normale Client-Zertifikate jedoch nicht.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...