PKI-Grundlagen: CA, RA, Zertifikat
Stell dir vor, du bekommst einen Brief von jemandem, den du noch nie getroffen hast. Der Brief enthält eine wichtige Vereinbarung und eine Unterschrift. Wie weißt du, dass die Unterschrift echt ist und nicht gefälscht? Im echten Leben gibt es Notare, die Unterschriften beglaubigen. Im Internet übernehmen diese Aufgabe Zertifizierungsstellen – und das ganze System dahinter heißt PKI: Public Key Infrastructure.
PKI ist die unsichtbare Grundlage fast aller sicherer Kommunikation im Internet. Wenn du im Browser das Schloss-Symbol siehst, wenn dein VPN-Client dem Server vertraut, wenn deine E-Mail-Signatur als echt erkannt wird – überall steckt PKI dahinter. Um zu verstehen wie das funktioniert, fangen wir mit den drei Grundbausteinen an: der CA, der RA und dem Zertifikat.
1) Die drei Rollen im PKI-System
In einer PKI gibt es immer mindestens drei Beteiligte, die klare Aufgaben haben. Die CA (Certificate Authority) ist die eigentliche Vertrauensanker – sie stellt Zertifikate aus und unterschreibt sie mit ihrem privaten Schlüssel. Die RA (Registration Authority) ist der Empfangsschalter: Sie prüft die Identität des Antragstellers, bevor die CA ein Zertifikat ausstellt. Der Antragsteller – also ein Server, ein Benutzer oder ein Gerät – bekommt am Ende das Zertifikat, das er bei jeder gesicherten Verbindung vorzeigt.
Die Analogie zum Notarsystem hilft hier: Die RA ist der Mitarbeiter am Schalter, der deinen Personalausweis prüft. Die CA ist der Notar, der die Unterschrift beglaubigt und das offizielle Siegel draufdrückt. Das ausgestellte Dokument ist das Zertifikat – und jeder, der diesem Notar vertraut, vertraut damit auch automatisch dem Dokument.
Stellt aus & signiert
Prüft Identität
Gerät – stellt CSR
2) Was ist ein Zertifikat überhaupt?
Ein digitales Zertifikat ist im Kern eine Datei – meist im X.509-Format. Diese Datei enthält mehrere Felder: den öffentlichen Schlüssel des Inhabers, Informationen über den Inhaber (Subject), Informationen über die ausstellende CA (Issuer), Gültigkeitszeitraum (von–bis), eine Seriennummer und ganz wichtig – die digitale Signatur der CA. Diese Signatur macht das Zertifikat vertrauenswürdig, weil jeder, der den öffentlichen Schlüssel der CA kennt, die Signatur mathematisch prüfen kann.
Versteh es so: Ein Zertifikat ist wie ein Personalausweis. Der Staat hat dein Foto und deinen Namen bestätigt und mit einem schwer fälschbaren Sicherheitsmerkmal versehen. Jeder, der dem Staat vertraut, vertraut auch deinem Ausweis. Nur dass bei PKI der „Staat" die CA ist – und „Vertrauen in die CA" bedeutet konkret, dass ihr Wurzelzertifikat in deinem Browser oder Betriebssystem gespeichert ist.
3) Der CSR – wie man ein Zertifikat beantragt
Wer ein Zertifikat möchte, stellt zunächst einen CSR (Certificate Signing Request). Das ist ein Antragsdokument, das der Antragsteller selbst erstellt. Im CSR stecken sein öffentlicher Schlüssel und die gewünschten Informationen (z.B. der Domain-Name). Der dazugehörige private Schlüssel bleibt beim Antragsteller – er verlässt den Server nie. Die CA bekommt nur den CSR, prüft ihn, und gibt das fertige Zertifikat zurück.
| Begriff | Was es ist | Wer es erstellt |
|---|---|---|
| Private Key | Geheimer Schlüssel – verlässt den Server nie | Antragsteller (bleibt lokal) |
| Public Key | Öffentlicher Schlüssel – darf jeder sehen | Automatisch aus Private Key abgeleitet |
| CSR | Zertifikatsantrag mit Public Key + gewünschten Infos | Antragsteller → schickt an RA/CA |
| Zertifikat | CSR-Inhalt + Signatur der CA = fertige Datei | CA stellt aus und signiert |
Zusammenfassung
PKI = System aus CA (stellt aus, signiert), RA (prüft Identität) und Zertifikaten (öffentlicher Schlüssel + CA-Signatur). Ein Zertifikat bindet einen öffentlichen Schlüssel an eine Identität. Beantragung über CSR: nur öffentlicher Schlüssel wird eingereicht, privater Schlüssel bleibt lokal. Vertrauen entsteht durch die CA-Signatur – wer der CA vertraut, vertraut dem Zertifikat.