Bei X.509 basierten Verfahren im allgemeinen und OpenSSL im besonderen ist ein Überblick über die Begriffe von erheblichem Vorteil.

Certificate (Zertifikat)

• SSL arbeitet mit einem Public-Key Verfahren. Das Zertifikat ist der (RSA) Public-Teil dieses Paares und kann daher offen verteilt werden.
• Ein Zertifikat wurde von einer (Root-)CA signiert.
• Das Zertifikat besteht aus mehreren Komponenten.
• DN des Inhabers
  • Der eindeutige (distinguished) Name des Zertfikatsinhabers, der durch dieses Zertfikat identifiziert werden kann.
• DN des Herausgebers
  • Distinguished Name des Herausgebers (Issuer), also der CA die dieses Zertifikat signiert hat.
• Seriennumer beim Herausgeber
  • Die Seriennummer, unter der dieses Zertifikat beim Herausgeber geführt wird.
• Signatur des Herausgebers
  • Der Herausgeber (die CA) signiert das Zertifikat mit dem privaten Schlüssel der CA.

Certificate Signing Request (CSR)

Anfrage um das Zertifikat von einer Root-CA signieren zu lassen. Der CSR enthält den Public-Key und den Distiguished Name des Antragstellers.

Certificate Authority (CA)

Überprüfft CSR hinsichtlich der Angaben der Identität des Antragstellers signiert wenn diese stimmen.

CA Certificate

• CA muß Ihren Public-Key, also Ihr von einer Root-CA signiertes Zertifikat öffentlich zur Verfügung stellen
• Damit können die von Ihr signierten Zertifikate verifiziert werden.
• In den Browsern sind z.B. etliche Zertifikate von CA's vorinstalliert.

DER

• DER ist die Abkürzung für Distinguished Encoding Rules
• Format für die Speicherung und Übermittlung von Zertifikatsdaten.
• DER ist ein binäres Format und kann daher nur 1 DER Objekt per Datei enthalten.
• Alternative zu PEM

Diffie - Hellmann

• Kein Verfahren ist kein Verschlüsselungsverfahren im eigentlichen Sinne.
• Protokoll zum sicheren Austausch von Schlüsseln über offene Kanäle.
• Mit Hilfe dieser Schlüssel kann dann eine Nachricht symmetrisch verschlüsselt und sicher übermittelt werden.

DSA

• Asymmetrischer Kryptographie basierendes Signaturverfahren.
• Nachricht wird mit dem privaten Schlüssel signiert und kann mit dem öffentlichen Schlüssel verifiziert werden.
• Bietet in Verbindung mit Diffie-Hellmann und einem zusätzlichen symmetrischen Verschlüsselungsverfahren (3DES, AES)
• Die Möglichkeit der Verschlüsselung und Signatur von Nachrichten.

PEM

• PEM steht für Privacy Enhanced Mail und ist ein Verfahren für den Austausch von Nachrichten.
• Im Zusammenhang mit X.509 wird PEM häufig als Format für die Übermittlung und Speicherung von Zertifikatsdaten genutzt.
• Bietet gegenüber DER mehrere Vorteile.
  • Daten sind Base64 encoded, so dass keine Binärdaten vorkommen.
  • Aus diesem Grund kann eine PEM Datei auch mehrere PEM Objekte enthalten.
  • Daten können vor der Konvertierung ins PEM Format verschlüsselt werden.

PEM ist in den RFCs 1421, 1422, 1423 und 1424 beschrieben.

PKCS PKCS ist die Abkürzung für Public Key Cryptography Standards. Die PKC Standards sind von den RSA Laboratories zur Spezifikation gängiger kryptographischer Datenstrukturen, Datenelemente und Verfahren entwickelt worden.

PKCS#10 PKCS#10 beschreibt den Aufbau eines Certificate Signing Requests, also einer Anfrage an eine CA, einen Public Key zu signieren. Ein CSR nach PKCS#10 besteht aus dem voll qualifizierten Namen (FQDN) des Zertifikats, dem Public-Key. Zusätzlich können weitere optionale Attribute angegeben werden, die mit dem privaten Schlüssel signiert werden.

PKCS#10 ist in RFC 2986 beschrieben.

RSA RSA ist ein asymmetrisches Verschlüsselungsverfahren, dass mit dem gleichen Schlüsselpaar die Möglichkeit bietet Nachrichten zu verschlüsseln und zu signieren und damit zu verifizieren.