Home

Zertifikatkette

Eine Zertifikatkette, auch Zertifizierungskette genannt, bezeichnet in der Public-Key-Infrastruktur (PKI) die Abfolge von Zertifikaten, die von einem Endbenutzerzertifikat (Leaf) bis zu einem als vertrauenswürdig eingestuften Root-Zertifikat reicht. Jedes Zertifikat in der Kette wird durch das übergeordnete Zertifikat signiert; der Root ist in der Regel selbst signiert. Root-Zertifikate befinden sich in sogenannten Trust Stores von Clients oder Betriebssystemen und dienen als Vertrauensanker.

Aufbau und Bestandteile: Typischerweise besteht eine Zertifikatkette aus einem Leaf-Zertifikat, einem oder mehreren Zwischenzertifikaten und einem

Verifikation und Vertrauensbildung: Bei einem TLS- oder anderen PKI-Handshake präsentiert der Server das Leaf-Zertifikat zusammen mit

Bedeutung und Praxis: Die Zertifikatkette ermöglicht Authentizität, Integrität und Verschlüsselung durch eine zentrale Vertrauensstruktur. Sie erlaubt

Root-Zertifikat.
Zwischenzertifikate
ermöglichen
eine
Hierarchie,
schützen
den
Root-Key
und
erleichtern
Rotation
und
Ausstellung
neuer
Leaf-Zertifikate.
Der
Root-Zertifikat
ist
in
der
Regel
eigenständig
zuverlässig
und
wird
vom
System
als
vertrauenswürdig
anerkannt.
den
notwendigen
Zwischenzertifikaten.
Der
Client
baut
daraus
eine
Signaturkette
auf,
überprüft
Signaturen
von
unten
nach
oben,
Gültigkeitsdauer,
Sperrlisten
(CRL/OCSP)
und
schließlich,
ob
der
oberste
Zertifikatsanker
im
Trust
Store
vorhanden
ist.
Gültige
Ketten
verweisen
auf
einen
vertrauenswürdigen
Root.
Rotationen
und
Kompatibilität
zwischen
verschiedenen
Zertifizierungsstellen.
Häufige
Probleme
sind
eine
unvollständige
Kette,
abgelaufene
Zertifikate,
falsche
Uhrzeit
oder
fehlende
Sperrprüfungen,
was
zu
Fehlermeldungen
bei
Verbindungen
führt.