Fenixxus Geschrieben 7. Mai 2008 Geschrieben 7. Mai 2008 Hallo zusammen, wie kann man den Sinn/Zweck und Funktionsweise einer RootCA beschreiben? Meine Definition: Sobald man der Root-CA vertraut, vertraut man auch allen Zertifikaten die unter der Root-CA ausgestellt wurden. Daher muss unbedingt der Fingerprint der RootCA vor Beginn des Verfahrens geprüft werden. Die RootCA ist die oberste Zertifizierungstelle, der alle anderen Vertrauen. Vorteil: -Kompromittierung des privaten Schlüssels entfällt, da die RootCA nach der Erstellung des Private Keys (PK) offline gehen kann. So ganz zufrieden bin ich damit noch nicht. Ich hoffe jemand könnte dies ein wenig ergänzen. Zitieren
lordy Geschrieben 7. Mai 2008 Geschrieben 7. Mai 2008 Die RootCA ist die oberste Zertifizierungstelle, der alle anderen Vertrauen. Das finde ich unglücklich vormuliert. Du kannst ja schließlich mehreren Root-CAs vertrauen, wie das auch dein Browser tut. Du mußt dir nur beim Import einer CA bewußt sein, das du damit allen Zertifikaten, die von dieser CA signiert wurden, vertraust. Vorteil: -Kompromittierung des privaten Schlüssels entfällt, da die RootCA nach der Erstellung des Private Keys (PK) offline gehen kann. Wie meinst du das ? Natürlich kann ich auch den privaten Schlüssel einer Root-CA kompromitieren. Der CA-Verwalter sollte mir das aber entsprechend schwer machen, in dem er den Key sicher, bspw. nur in einem Bankschließfach, aufbewahrt. Zitieren
Fenixxus Geschrieben 7. Mai 2008 Autor Geschrieben 7. Mai 2008 Der PK-CA wird sehr sicher aufbewahrt z.B. in einem Tresor. Das meinte ich mit "Kompromittierung verhindern". Zitieren
lordy Geschrieben 7. Mai 2008 Geschrieben 7. Mai 2008 Das ist mir schon klar Aus deiner ursprünglichen Beschreibung klang es nur so, als seien Root-CAs völlig unkompromitierbar. Außerdem weißt du ja nicht, wie der jeweilige Verwalter den Key behandelt... Zitieren
Fenixxus Geschrieben 7. Mai 2008 Autor Geschrieben 7. Mai 2008 Dann habe ich ein wenig unverständlich ausgedrückt, Entschuldigung. Gibt es sonst noch irgendwelche Vorteile? Muss eine "normale" CA (quasi eine UnterCA von RootCA) das Zertifikat von RootCA besitzen bzw. erweitern, so dass das Zertifikat in etwa so aussieht: -PKCA -CA -SignaturRCA Oder woran kann ein Empfänger A erkennen, dass die SubCA zur RootCA gehört? Zitieren
lordy Geschrieben 7. Mai 2008 Geschrieben 7. Mai 2008 Oder woran kann ein Empfänger A erkennen, dass die SubCA zur RootCA gehört? Die Sub-CA wird von der Root-CA signiert, genau wie die "normalen" Zertifikate, die sie evtl. ausstellt. Der Unterschied besteht darin, das das Sub-CA-Zertifikat zum weiteren signieren verwendet werden kann, normale Client-Zertifikate jedoch nicht. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.