Aufgaben PKI
In der IHK-Abschlussprüfung wird PKI meist im Kontext von IT-Sicherheit abgefragt. Die Fragen drehen sich typischerweise um die Funktion der CA, den Aufbau eines X.509-Zertifikats, die Zertifikatskette, den Unterschied zwischen CRL und OCSP sowie praktische Szenarien wie „Welches Tool nutzt du um ein Zertifikat zu prüfen?" Dieser Test deckt alle wesentlichen Themen aus K26 ab.
0 von 9 Aufgaben bearbeitet
Was ist die Aufgabe einer Certificate Authority (CA)?
Verschlüsselung von Daten mit dem privaten Schlüssel des Empfängers.
Zertifikate ausstellen, die öffentliche Schlüssel an Identitäten binden – bestätigt durch die CA-Signatur.
Private Schlüssel für alle Teilnehmer zentral speichern und verwalten.
Passwörter für Benutzerkonten vergeben und prüfen.
Ordne die Begriffe der richtigen Beschreibung zu.
CSR
CRL
OCSP
Zertifikatsantrag mit öffentlichem Schlüssel
Liste widerrufener Zertifikate (periodisch)
Echtzeit-Widerrufsstatus per Einzelabfrage
Ein Browser zeigt die Fehlermeldung „Zertifikat nicht vertrauenswürdig". Das Server-Zertifikat ist gültig und nicht abgelaufen. Was ist die wahrscheinlichste Ursache?
Der Server hat die falsche IP-Adresse konfiguriert.
Das Intermediate-CA-Zertifikat fehlt in der ausgelieferten Kette (nur cert.pem statt fullchain.pem).
Der Browser unterstützt das Zertifikatsformat nicht.
Das Zertifikat hat zu viele Subject Alternative Names.
Was enthält ein CSR (Certificate Signing Request) und was enthält er nicht?
Enthält privaten Schlüssel + gewünschte Zertifikatsinformationen.
Enthält öffentlichen Schlüssel + gewünschte Infos. Kein privater Schlüssel.
Enthält das fertige Zertifikat mit CA-Signatur.
Enthält nur den Common Name, keinen Schlüssel.
Bringe die PKI-Hierarchiestufen von oben (Vertrauensanker) nach unten (stellt täglich aus) in die richtige Reihenfolge.
⠿Issuing CA – stellt Endentitäts-Zertifikate aus
⠿Root CA – absoluter Vertrauensanker, selbstsigniert
⠿Intermediate CA – Zwischenstufe, von Root signiert
Was ist der Hauptvorteil von OCSP Stapling gegenüber normalem OCSP?
OCSP Stapling ist kostenlos, normales OCSP kostenpflichtig.
Der Server holt den OCSP-Status selbst und liefert ihn im TLS-Handshake mit – der Client muss die CA nicht direkt kontaktieren.
OCSP Stapling prüft den Status schneller weil ein Algorithmus verwendet wird.
Stapling deaktiviert den Widerrufsstatus vollständig.
Welcher ACME-Challenge-Typ muss für ein Wildcard-Zertifikat (*.example.de) verwendet werden?
HTTP-01 (Datei auf dem Webserver)
DNS-01 (TXT-Eintrag in der DNS-Zone)
TLS-ALPN-01 (TLS-Handshake auf Port 443)
Alle drei Challenge-Typen funktionieren für Wildcard.
Mit welchem OpenSSL-Befehl zeigst du alle Details (Felder) eines Zertifikats in der Datei
cert.pem an?Ein Zertifikat läuft in 2 Tagen ab, der Webserver ist ausgefallen bevor das neue Zertifikat installiert werden konnte. Was passiert für Benutzer?
Browser zeigen einen Fehler und verweigern standardmäßig die Verbindung.
Browser warnen, aber Benutzer können die Verbindung trotzdem öffnen.
Nichts – ein abgelaufenes Zertifikat wird von modernen Browsern automatisch erneuert.
Die CA wird automatisch benachrichtigt und stellt ein neues Zertifikat aus.
Dein Ergebnis
–
Alle Lektionen – K26 PKI & Zertifikatsverwaltung