Beim Arbeiten mit X.509 Zertifikaten werden viele neue Fachbegriffe verwendet. Leider sind dem Anwender die einzelnen Definitionen und Abgrenzungen nicht oder nur noch teilweise bekannt. Für das Verständnis der Arbeit mit X.509 basierten Verfahren im allgemeinen und OpenSSL im besonderen ist ein Überblick über die Begriffe von erheblichem Vorteil.
SSL arbeitet mit einem Public-Key Verfahren. Das Zertifikat ist
der (RSA) Public-Teil dieses Paares und kann daher offen verteilt
werden. Ein Zertifikat wurde von einer (Root-)CA signiert.
Das Zertifikat besteht aus mehreren Komponenten.
Der eindeutige (distinguished) Name des Zertfikatsinhabers, der durch dieses Zertfikat identifiziert werden kann.
Distinguished Name des Herausgebers (Issuer), also der CA die dieses Zertifikat signiert hat.
Die Seriennummer, unter der dieses Zertifikat beim Herausgeber geführt wird.
Der Herausgeber (die CA) signiert das Zertifikat mit dem privaten Schlüssel der CA.
Um ein (signiertes) Zertifikat zu erstellen, wird zunächst ein
erzeugt. Dieser dient dazu, das Zertifikat von einer Root-CA signieren zu lassen. Der CSR enthält den Public-Key und den Namen des Antragstellers. Der CSR wird zu einer
geschickt und von dieser nach Prüfung der Angaben hinsichtlich der Identität des Antragstellers signiert.
Die CA muß Ihren Public-Key, also Ihr von einer Root-CA signiertes Zertifikat öffentlich zur Verfügung stellen, damit die von Ihr signierten (oder ausgestellten) Zertifikate verifiziert werden können. In den Browsern sind z.B. etliche Zertifikate von CA's vorinstalliert. Sie müssen also nicht noch im Browser installiert werden, um ein ausgestelltes Zertifikat verifizieren zu können.
DER ist die Abkürzung für Distinguished Encoding Rules, einem Format für die Speicherung und Übermittlung von Zertifikatsdaten. DER ist ein binäres Format und kann daher nur 1 DER Objekt per Datei enthalten. Ein anderes, häufig genutztes Format ist PEM (s.u.).
Das Diffie - Hellmann Verfahren ist kein Verschlüsselungsverfahren im eigentlichen Sinne, sondern ein Protokoll zum sicheren Austausch von (symmetrischen) Schlüsseln über offene Kanäle. Mit Hilfe dieser Schlüssel kann dann eine Nachricht symmetrisch verschlüsselt und sicher übermittelt werden.
Der Digital Signature Standard ist ein auf asymmetrischer Kryptographie basierendes Signaturverfahren. Die Nachricht wird mit dem privaten Schlüssel signiert und kann mit dem öffentlichen Schlüssel verifiziert werden.
DSA bietet in Verbindung mit Diffie-Hellmann und einem zusätzlichen symmetrischen Verschlüsselungsverfahren (3DES, AES) die Möglichkeit der Verschlüsselung und Signatur von Nachrichten, das aus Sicht des Anwenders mit RSA vergleichbar ist.
PEM steht für Privacy Enhanced Mail und ist ein Verfahren für den Austausch von Nachrichten. Im Zusammenhang mit X.509 wird PEM häufig als Format für die Übermittlung und Speicherung von Zertifikatsdaten genutzt. PEM bietet gegenüber DER mehrere Vorteile. Die Daten sind Base64 encoded, so dass keine Binärdaten vorkommen. Aus diesem Grund kann eine PEM Datei auch mehrere PEM Objekte enthalten. Die Daten können vor der Konvertierung ins PEM Format verschlüsselt werden.
PEM ist in den RFCs 1421, 1422, 1423 und 1424 beschrieben.
PKCS ist die Abkürzung für Public Key Cryptography Standards. Die PKC Standards sind von den RSA Laboratories zur Spezifikation gängiger kryptographischer Datenstrukturen, Datenelemente und Verfahren entwickelt worden.
PKCS#10 beschreibt den Aufbau eines Certificate Signing Requests, also einer Anfrage an eine CA, einen Public Key zu signieren. Ein CSR nach PKCS#10 besteht aus dem voll qualifizierten Namen (FQDN) des Zertifikats, dem Public-Key. Zusätzlich können weitere optionale Attribute angegeben werden, die mit dem privaten Schlüssel signiert werden.
PKCS#10 ist in RFC 2986 beschrieben.
RSA ist ein asymmetrisches Verschlüsselungsverfahren, dass mit dem gleichen Schlüsselpaar die Möglichkeit bietet Nachrichten zu verschlüsseln und zu signieren und damit zu verifizieren.