Unterschied Root- und Client-Zertifikat

[xfiles]

Hallo zusammen,

denke die Antwort ist ganz einfach, aber was ist denn genau der Unterschied

zwischen einem Root- und einem Client-Zertifikat?

THX

[lupo49]

Stammzertifikate werden verwendet um auf einem System ein generelles Vertrauen in eine Organisation zu bekunden. Mit Hilfe des Stammzertifikats werden Client-Zertifikate erstellt (erst generiert und signiert durch das Stammzertifikat), die dann automatisch auf einem System vertrauenswürdig sind, auf dem auch das Stammzertifikat als vertrauenswürdig eingestuft wurde.

Die Frage ist ein wenig zu allgemein. Da gibt es ausreichend im Netz zu.

[xfiles]

Stammzertifikate werden verwendet um auf einem System ein generelles Vertrauen in eine Organisation zu bekunden.

Okay, klar.

Mit Hilfe des Stammzertifikats werden Client-Zertifikate erstellt (erst generiert und signiert durch das Stammzertifikat)

Auch verstanden.

die dann automatisch auf einem System vertrauenswürdig sind, auf dem auch das Stammzertifikat als vertrauenswürdig eingestuft wurde.

Verstehe ich nicht so ganz. Für was wird dann das Client Zertifikat gebraucht?

[SilentDemise]

Rfc5280

[Wuwu]

du bildest eine chain of trust.

jeder service/rechner/user braucht für sich ein individuelles cert, das entsprechende client cert.

damit du jetzt aber siehst von wem das ganze gezeichnet und abgesegnet worden ist und einen zentralen vertrauenspunkt hast, gibt es halt den rest der chain, sprich entsprechende intermediate und root certs.

den rest findest du in der von silentdemis genannten rfc.

[xfiles]

Danke Wuwu,

jetzt hab ichs verstanden.

Aber in manchen Fällen verteile ich doch das gleiche Zertifikat auf dem Server und den Client?

Zum Beispiel Thema Local Upadate Publisher. Hier wird von LUP direkt ein Zertifikat erstellt.

Dieses habe ich auf dem Server und auf dem Client installiert.

Ist das dann ein spezielles Zertifikat? Oder habe ich damit etwas falsch gemacht?

[Wuwu]

Ich kenne das Produkt leider nicht.

Kannst Du bitte spezifieren, was Du mit installieren genau meinst? In den lokalen Certstore?

Bzw. wenn ich die Doku kurz überfliege geht es hier wohl um ein Code Signing Cert?

Sprich Software ist entsprechend mit dem Zertifikat signiert, wenn das Zertifikat im TrustedStore auf den Clients installiert ist, wird eine Installation durchgeführt, da Du diesem Zertifikat vertraust.

Wenn das nicht der Fall ist, gibts entweder ne Warnmeldung, oder aber direkt einen Fehler.

Es handelt sich hierbei also um 2 unterschiedliche Konzepte. Root und Clientzertifikate sind die Chain of Trust. Wer vertraut wem quasi, als ob Dein bester Kumpel Dir jemanden als vertrauenswürdig empfieht.

Zertifikate können aber auch für verschiedene Zwecke hergenommen werden, unter anderem Code Signing. Damit weisst Du, dass das Programm von einer bestimmten Firma erstellt worden ist, oder aber der Private Key der Firma geklaut wurde

Das ist vereinfach so als ob Dir Dein Kumpel sagt, der Alex ist ein super Programmierer, der baut Dir keine Backdoors ein, beim Michael hab ich aber keine Ahnung, da musst Du selbst wissen, ob Du ihm vertraust, da ich hier nur weiss, dass es der Michael ist, aber nicht einen Job kenne.

Am besten ist wohl Du liest wirklich einmal die RFC (recht trocken) oder schaust mal in der Bibliothek, ob Du eventuell ein Buch über PKI findest, wenn Du mehr Detailwissen benötigst.

Ansonsten gibt wikipedia auch einen netten Kurzüberblick:

Public-key infrastructure - Wikipedia, the free encyclopedia

[xfiles]

Ich habe das von LUP erstellte Zertifikat auf der LUP Maschine, dem WSUS Server und einem Testclient unter Trustet Root Certification Authorities und unter Trusted Publishers installiert/hinterlegt.

Kurz LUP ist eine Software um über den WSUS Software von Drittherstellern zu verteilen (Java, Flash...).

http://www.fachinformatiker.de/anwendungssoftware/157780-local-update-publisher.html

Das ist auch mein Problem. Und ich denke, dass ich dort was mit der Verteilung mit den Zertifikaten falsch gemacht habe.

Das hier ist das Zerfifikat:

[GoaSkin]

Das ganze Prinzip ist ähnlich wie bei beglaubigten Fotokopien.

Ein Stempel soll bestätigen, dass die Kopie echt ist. Den Stempel zur Beglaubigung kann ein Ortsgericht oder ein Notar (allgemein anerkannt), eine Pfarrer (erkennt nicht jeder an) oder irgendwer den kaum jemand kennt (erkennt fast niemand an) abgeben.

Das Stammzertifikat kommt von einer Organisation, wobei es sich in diesem Falle um keine öffentlichen Körperschaften handelt, sondern Unternehmen wie Verisign. Bei diesen Firmen kann man sich ein Client-Zertifikat holen, die durch die Vergabe des Client-Zertifikates auch bestätigen sollen, dass man derjenige ist, für den man sich ausgibt. Hat man auf Basis eines gültigen Stammzertifikates ein gültiges Client-Zertifikat, ist dies eine Bestätigung gegenüber dem User (z.B. ein Web-Seitenbesucher, der https nutzt), dass dies der Fall ist.

Um wieder zum Vergleich zu kommen: So wie irgendeine Lichtgestalt behaupten kann, dass eine Fotokopie echt sei, dies aber kaum jemand glaubt, gibt es auch die Möglichkeit, sich selbst ein Stammzertifikat zu generieren und auf dieser Basis ein Client-Zertifikat. Ein Web-Browser würde dann warnen, dass das Zertifikat nicht vertrauenswürdig ist und fragen, ob man die Seite dennoch besuchen will.

Zertifikate von vertrauenswürdigen Organisationen (d.h. Stamm-Zertifikat im Browser vorinstalliert) kosten sehr viel Geld, dass sich die Zertifizierungsstellen fast im Schlaf verdienen (der Arbeitsaufwand ist für die nur ein paar Mausklicks). Ob es die Organisation wirklich gibt, die das Client-Zertifikat beantragt, eine Webseite der Organisation gehört und der Antragsteller auch wirklich dort arbeitet - das wird im Grunde genommen fast überhaupt nicht überprüft und auch der Internet-User sieht eigentlich auch keinen Grund darin, einem von Verisign vergebenen Client-Zertifikat mehr zu trauen.

Faktisch zahlt man nur ein paar 100 Euro dafür, damit ein Web-Browser nicht herum motzt, wenn man eine Seite per HTTPS aufruft. Zertifikate werden hauptsächlich zur Verschlüsselung des Datenverkehrs genutzt, was mit eigenen Zertifikaten genauso funktioniert wie mit gekauften. Aber bevor die Leute eine Seite verlassen, weil der Browser motzt, zahlt man lieber.

Es geht meistens nur darum, Datenverkehr zu verschlüsseln und nicht um den Echtheits-Bestätigungs-Aspekt, der eigentlich für die Tonne ist.

[SilentDemise]

Es geht meistens nur darum, Datenverkehr zu verschlüsseln und nicht um den Echtheits-Bestätigungs-Aspekt, der eigentlich für die Tonne ist.

Dabei sollte es eigentlich genau andersherum sein, Verschlüsselung ist letztendlich nur ein Abfallprodukt. Das Problem ist, es macht sich kein Benutzer die Mühe mal nachzuschauen, was denn in dem Zertifikat drinsteht, was man so bereitwillig für sicher hält, leuchtet ja grün im Browser, wie kann es da böse sein?

Das anscheinend die Geheimdienste Zugriff auf das Schlüsselmaterial der CAs haben, juckt dann auch niemanden mehr, lesen ja eh alles mit. Was soll mir da noch passieren?

[Wuwu]

Das Problem ist, es macht sich kein Benutzer die Mühe mal nachzuschauen, was denn in dem Zertifikat drinsteht, was man so bereitwillig für sicher hält, leuchtet ja grün im Browser, wie kann es da böse sein?

Was für extrem wichtige Informationen sind denn bitte im Zertifikat enthalten? Da steht ein CN drin, der halbwegs interessant ist und wenn möglich dem Hostnamen entsprechen sollte und sonst?

Das anscheinend die Geheimdienste Zugriff auf das Schlüsselmaterial der CAs haben, juckt dann auch niemanden mehr, lesen ja eh alles mit. Was soll mir da noch passieren?

Entweder Du vertraust der CA oder nicht, die Entscheidung fällst Du selber, wenn Du meinst eine CA sei von der NSA unterwandert, hindert Dich nichts daran das Rootcert entsprechend aus dem Trusted Store zu entfernen und schon läuft alles wieder so wie es soll.

Zumal der private Key einer CA recht nutzlos zum Entschlüsseln der Nachricht selber ist, maximal zum Austellen von Zertifikaten, die diese Entschlüsselung am Endpunkt dann ermöglichen, aber da hast Du auch wieder das Problem, wenn Du irgendeinem Internetkonzern vertraust, dass er mit dem private Key seines Certs Deinen Verkeher nicht mitliest, vertraust Du ihm ja wohl auch, dass er den Inhalt Deiner Nachrichten auch nicht weitergibt, oder warum bist Du sonst noch bei dem Dienst angemeldet.

[GoaSkin]

Selbst wenn die Angaben in einem Zertifikat stimmen, gibt es kein Grund, es für seriös zu halten, nur weil das Stammzertifikat von einer Organisation kommt, von der es im Browser bereits vorinstalliert ist.

Es ist überhaupt kein Problem, sich selbst ein Zertifikat für jemand Beliebigen aus dem Telefonbuch zu bestellen und es selbst zu nutzen, da die Zertifizierungsstellen absolut nichts haben wollen, womit sie die Identität des Antragstellers wirklich überprüfen können.

Da wird zwar in einem Feld irgendwas gefragt (z.B. Handelsregisternummer oder Ausweisnummer), die Korrektheit aber garnicht überprüft. Da kann man einfach irgendwas eintragen. Zertifikate sind mit ein paar Mausklicks gekauft. Das System kann garnicht anhand von Feldangaben mal schnell überprüfen, ob das alles zusammenpasst, zumal sich Online auch auf Basis der Handelsregisternummer von dem Ämtern nur beschränkte Infos abrufen lassen (mit der Perso-Nummer sogar überhaupt nichts). Zu dem müsste das Freitextformurfeld auch erst einmal deutsche Nummern erkennen, um sie von Pakistanischen unterscheidbar zu machen.

Zertifikate erfüllen faktisch neben der Verschlüsselung keinen Sinn mehr - dem Neoliberalismus sei Dank.

Wenn man sich ein Zertifikat auf dem Rathaus, beim Ortsgericht oder über einen Notar bestellen müsste, sähe das anders aus.

[SilentDemise]

Schonmal ein extended Validation Zertifikat bestellt? Man bekommt für was man zahlt.