Bei X.509 basierten Verfahren im allgemeinen und OpenSSL im besonderen ist ein Überblick über die Begriffe von erheblichem Vorteil.

Certificate (Zertifikat)

• SSL arbeitet mit einem Public-Key Verfahren. Das Zertifikat ist der (RSA) Public-Teil dieses Paares und kann daher offen verteilt werden.
• Ein Zertifikat wurde von einer (Root-)CA signiert.
• Das Zertifikat besteht aus mehreren Komponenten.
• DN des Inhabers
  • Der eindeutige (distinguished) Name des Zertfikatsinhabers, der durch dieses Zertfikat identifiziert werden kann.
• DN des Herausgebers
  • Distinguished Name des Herausgebers (Issuer), also der CA die dieses Zertifikat signiert hat.
• Seriennumer beim Herausgeber
  • Die Seriennummer, unter der dieses Zertifikat beim Herausgeber geführt wird.
• Signatur des Herausgebers
  • Der Herausgeber (die CA) signiert das Zertifikat mit dem privaten Schlüssel der CA.

Certificate Signing Request (CSR)

Anfrage um das Zertifikat von einer Root-CA signieren zu lassen. Der CSR enthält den Public-Key und den Distiguished Name des Antragstellers.

Certificate Authority (CA)

Überprüfft CSR hinsichtlich der Angaben der Identität des Antragstellers signiert wenn diese stimmen.

CA Certificate

• CA muß Ihren Public-Key, also Ihr von einer Root-CA signiertes Zertifikat öffentlich zur Verfügung stellen
• Damit können die von Ihr signierten Zertifikate verifiziert werden.
• In den Browsern sind z.B. etliche Zertifikate von CA's vorinstalliert.

DER

• DER ist die Abkürzung für Distinguished Encoding Rules
• Format für die Speicherung und Übermittlung von Zertifikatsdaten.
• DER ist ein binäres Format und kann daher nur 1 DER Objekt per Datei enthalten.
• Alternative zu PEM

Diffie - Hellmann

• Das Verfahren ist kein Verschlüsselungsverfahren im eigentlichen Sinne.
• Protokoll zum sicheren Austausch von Schlüsseln über offene Kanäle.
• Mit Hilfe dieser Schlüssel kann dann eine Nachricht symmetrisch verschlüsselt und sicher übermittelt werden.

DSA

• Asymmetrischer Kryptographie basierendes Signaturverfahren.
• Nachricht wird mit dem privaten Schlüssel signiert und kann mit dem öffentlichen Schlüssel verifiziert werden.
• Bietet in Verbindung mit Diffie-Hellmann und einem zusätzlichen symmetrischen Verschlüsselungsverfahren (3DES, AES)
• Die Möglichkeit der Verschlüsselung und Signatur von Nachrichten.

PEM

• PEM steht für Privacy Enhanced Mail und ist ein Verfahren für den Austausch von Nachrichten.
• Im Zusammenhang mit X.509 wird PEM häufig als Format für die Übermittlung und Speicherung von Zertifikatsdaten genutzt.
• Bietet gegenüber DER mehrere Vorteile.
  • Daten sind Base64 encoded, so dass keine Binärdaten vorkommen.
  • Aus diesem Grund kann eine PEM Datei auch mehrere PEM Objekte enthalten.
  • Daten können vor der Konvertierung ins PEM Format verschlüsselt werden.

PKCS

• Public Key Cryptography Standards.
• Standards von den RSA Laboratories zur Spezifikation gängiger kryptographischer Datenstrukturen, Datenelemente und Verfahren.

PKCS#10

• beschreibt den Aufbau eines Certificate Signing Requests, also einer Anfrage an eine CA,
• einen Public Key zu signieren.
• CSR nach PKCS#10 besteht aus
  • dem voll qualifizierten Namen (FQDN) des Zertifikats
  • dem Public-Key
  • Zusätzlich können weitere optionale Attribute angegeben werden, die mit dem privaten Schlüssel signiert werden.

RSA

• asymmetrisches Verschlüsselungsverfahren, dass mit dem gleichen Schlüsselpaar die Möglichkeit bietet Nachrichten zu verschlüsseln und zu signieren und damit zu verifizieren.

Quelle

• http://www.werthmoeller.de/doc/microhowtos/openssl/x509-begriffsbestimmungen/