Netzwerk
10 Min. Lesezeit
X.509-Zertifikate erklärt: Wie TLS/SSL wirklich funktioniert
Ein X.509-Zertifikat verknüpft einen öffentlichen Schlüssel mit einer Identität. Hinter dem Browser-Schloss steckt eine vollständige Vertrauenskette, die TLS ermöglicht.
Wichtige Felder
Subject, Issuer, Gültigkeit, öffentlicher Schlüssel, Signaturalgorithmus und SAN sind die Felder, die den realen Einsatz am stärksten beeinflussen. SAN ist heute besonders kritisch.
Vertrauenskette
Der Browser validiert nicht nur das Endzertikat. Er prüft auch die Zwischenzertifikate bis zu einer vertrauenswürdigen Wurzel. Eine unvollständige Kette kann mobile Clients oder CLI-Tools zum Scheitern bringen.
CSR und Betrieb
Zur Zertifikatsausstellung erzeugen Sie zunächst den privaten Schlüssel und dann den CSR. Der private Schlüssel darf niemals die Umgebung verlassen, die Sie kontrollieren.
Häufige Fehler
- Abgelaufene Zertifikate
- Unvollständige Ketten
- Nicht übereinstimmende Hostnamen
- Nicht vertrauenswürdige Wurzeln