Cryptography Reference
In-Depth Information
Cross-Zertifizierung
Das Webmodell wird vor allem dann verwendet, wenn unterschiedliche CAs mit-
einander konkurrieren. Häufig gibt es jedoch auch die Situation, dass mehrere
CAs vorhanden sind, deren Benutzerkreis sich nicht überschneidet. In diesem Fall
bietet sich eine
Cross-Zertifizierung
an. Eine solche sieht vor, dass zwei CAs sich
gegenseitig je ein Zertifikat ausstellen.
CA
1
stellt also ein Zertifikat für
CA
2
aus
und beglaubigt damit den öffentlichen Schlüssel von
CA
2
.
CA
2
macht dasselbe
mit dem Schlüssel von
CA
1
.
Alice, die Kundin bei
CA
1
ist, kennt den öffentlichen Schlüssel von
CA
1
und
sonst keinen öffentlichen CA-Schlüssel. Carol, Kundin bei
CA
2
, kennt den öffent-
lichen Schlüssel von
CA
2
und sonst keinen. Wenn sich Alice Carols Zertifikat
besorgt, dann holt sie sich das Zertifikat von
CA
2
gleich mit. Anschließend veri-
fiziert sie zunächst das Zertifikat von
CA
2
mit dem öffentlichen Schlüssel von
CA
1
. Danach verifiziert sie Carols Zertifikat mit dem öffentlichen Schlüssel von
CA
2
. Durch eine Cross-Zertifizierung wird somit der Einzugsbereich einer CA
auf den einer anderen ausgedehnt. Von Nachteil ist, dass mit einem Zertifikat
immer gleich das Zertifikat der entsprechenden CA mitgeliefert werden muss.
CA
CA
Alice
Bob
Carol
Zacharias
Zita
Abb. 26-6
Bei einer Cross-Zertifizierung stellen sich zwei CAs gegenseitig je ein Zertifikat aus.
Mehrstufige Hierarchie
Wenn neben
CA
1
und
CA
2
noch weitere CAs aktiv sind, die unterschiedliche
Benutzer bedienen, dann wird eine gegenseitige Cross-Zertifizierung oft zu auf-
wendig. Stattdessen sollte in einem solchen Fall eine übergeordnete CA eingerich-
tet werden, die Zertifikate für die anderen ausstellt. Wenn es mehrere übergeord-
nete CAs gibt, dann können auch diese wiederum Zertifikate von einer weiteren
übergeordneten CA erhalten. Man spricht in diesem Fall von einer
mehrstufigen
Hierarchie
. Die CA an der Spitze der Hierarchie wird als
Wurzel-CA
bezeichnet.
Für Anwenderin Alice genügt es in diesem Fall, den öffentlichen Schlüssel der
Wurzel-CA zu kennen. Mit diesem kann sie die Zertifikate der darunter liegenden
CAs verifizieren und sich so die Hierarchie bis zu Benutzer Bob hinunterhangeln.
Auch in diesem Fall müssen die Zertifikate der CAs, die in der Hierarchie zwi-