Forums Neueste Beiträge
 

allgemeine Zertifikatsfrage

31/03/2010 - 13:24 von Marek | Report spam
hatte die Frage auch in Forum:
microsoft.public.de.security.netzwerk.sicherheit gestellt, bin mir aber
nicht sicher ob das richtig war, deshalb ein neuer Versuch.

Bei einem ausgestellten Zertifikat gibt es die Registerkarte
"Zertifizierungspfad".

lt. Technet:
"Bevor ein Zertifikat als vertrauenswürdig eingestuft wird, muss von Windows
überprüft werden, ob das Zertifikat von einer vertrauenswürdigen Quelle
stammt. Dieser Überprüfungsvorgang wird als Pfadüberprüfung bezeichnet.
Die Pfadüberprüfung schließt das Verarbeiten von Zertifikaten mit
öffentlichen Schlüsseln und ihrer Ausstellerzertifikate in einer
hierarchischen Form ein, bis der Zertifizierungspfad mit einem
vertrauenswürdigen, selbstsignierten Zertifikat beendet wird."

jetzt meine Frage:

der öffentliche Key der CA muss ja auch im lokalen Speicher beim User oder
Computer liegen in dem Ordner "Vertrauenswürdige
Stammzertifizierungsstellen". Wenn das Zertifikat in dem Speicher vorhanden
ist, gilt es doch als vertrauenswürdig oder ? Warum dann nochmal die
Überprüfung des Pfades ?
Wird bei der Pfadüberprüfung in den "Zugriff auf Stelleninformationen"

reingeguckt< ?




Danke
 

Lesen sie die antworten

#1 Hans Moser
18/04/2010 - 23:16 | Warnen spam
Hy

Ein Zertifikat kommt ja meist von einer Sub-CA, nicht direkt von der
Root-CA.

Aus diesem Grunde hast du einen "Pfad" bis dorthin, also mehrere Sub-CA's
bis man schlussendlich bei der Root-CA landet.

Eine möglichkeit ist es nun, alle Sub-CA's inklusive der Root-CA als
"Trusted Publishers" bereits import zu haben.

Alternativ dazu kann ein Zertifikat das AIA (Authority Information Access"
Attribut befüllt haben. In diesem ist die Information enthalten, wie ein
Client zum Zertifikat der ausstellenden CA "kommt". Somit kann ein Pfad bis
zur Root-CA automatisch überprüft werden.

Ausserdem muss ein Client ja auch überprüfen ob das Zertifikat nicht bereits
zurückgezogen (revoked) wurde. Dafür gibt es die CRL (Certificate Revocation
Lists) => Siehe CRL Distribtion Points auf einem Zertifikat.

Ist deine Frage somit beantwortet oder habe ich für nur noch mehr Verwirrung
gesorgt? ;)

lG
_Hans

"Marek" wrote in message
news:
hatte die Frage auch in Forum:
microsoft.public.de.security.netzwerk.sicherheit gestellt, bin mir aber
nicht sicher ob das richtig war, deshalb ein neuer Versuch.

Bei einem ausgestellten Zertifikat gibt es die Registerkarte
"Zertifizierungspfad".

lt. Technet:
"Bevor ein Zertifikat als vertrauenswürdig eingestuft wird, muss von
Windows
überprüft werden, ob das Zertifikat von einer vertrauenswürdigen Quelle
stammt. Dieser Überprüfungsvorgang wird als Pfadüberprüfung bezeichnet.
Die Pfadüberprüfung schließt das Verarbeiten von Zertifikaten mit
öffentlichen Schlüsseln und ihrer Ausstellerzertifikate in einer
hierarchischen Form ein, bis der Zertifizierungspfad mit einem
vertrauenswürdigen, selbstsignierten Zertifikat beendet wird."

jetzt meine Frage:

der öffentliche Key der CA muss ja auch im lokalen Speicher beim User oder
Computer liegen in dem Ordner "Vertrauenswürdige
Stammzertifizierungsstellen". Wenn das Zertifikat in dem Speicher
vorhanden
ist, gilt es doch als vertrauenswürdig oder ? Warum dann nochmal die
Überprüfung des Pfades ?
Wird bei der Pfadüberprüfung in den "Zugriff auf Stelleninformationen"
reingeguckt< ?




Danke

Ähnliche fragen