Anwaltskanzlei Drach & Drach - X509v3 Public Key Infrastruktur (PKI)


Um in unseren Mandantenumfeld eine abgesicherte und vertrauenswürdige Kommunikation mit Unterstützung digitaler Signaturen und Verschlüsselung zu ermöglichen, haben wir uns einer auf X509v3-Zertifikaten basierenden Public Key Infrastruktur (PKI) der Firma Amft IT angeschlossen, welche auf den Grundlagen der Empfehlungen des RFC5280 und Mozilla's MDN (siehe hier) generiert wurde.

Das ermöglicht zwischen den Teilnehmern u. a. sichere E-Mail-Verschlüsselung und abgesicherte Server-(SSL-) und VPN-Kommunikation. Diese Struktur wird zusätzlich durch Zertifikatssperrlisten (sog. CRLs) entsprechend abgesichert, sollten aufgrund Änderungen bei den entsprechenden Diensten Zertifikate ausgetauscht oder erneuert werden müssen, da Zertifikate normalerweise nicht gelöscht, sondern nur ungültig gemacht werden.

Strukturell gibt es eine RootCA (Stammzertifizierungsstelle), eine IntermediateCA (Zwischenzertifizierungsstelle) und entsprechende Serverzertifikate (Webdienste mit SSL,VPN-Server) bzw. Clientzertifikate (VPN-Client, persönliche Email-Zertifikate zum Zweck der Email-Verschlüsselung und/oder digitalen Signierung von E-Mails oder elektronischen Dokumenten wie PDF), die in einer Zertifikatskette Prüfungen von Gültigkeit und Echtheit der Zertifikate und somit eine gesicherte Kommunikation ermöglichen.

Da es sich um eine private, nicht-öffentliche PKI handelt, müssen die entsprechenden Stammzertifikate auf den Systemen (Arbeitsplatz-PC, Smartphones, Tablets, Server) der Teilnehmer bzw. Nutzer der PKI einmal importiert und installiert werden. Teilweise kann das automatisiert für ganze Netzwerke erfolgen, sofern entsprechende IT-Strukturen vorhanden sind.

Hier finden Sie zur Installation die entsprechenden Zertifikate unserer PKI zum Download bzw. zur Installation:

Hinweise zur Installation/Import der Zertifikate:

Windows (XP/Vista/7/8/8.1, Server 2003,2008,2008R2,2012,2012R2):
Das RootCA-Zertifikat sollte in den Bereich "Vertrauenwürdige Stammzertifizierungsstellen" auf Ebene "lokaler Computer" installiert werden, das IntermediateCA-Zertifikat in den Bereich "Zwischenzertifizierungsstellen" auf Ebene "lokaler Computer".

Sinnvollerweise hilft hier die MMC (mit START>AUSFÜHREN>mmc + ENTER) mit den entsprechenden Snap-In (DATEI>Snap-Ins hinzufügen bzw. entfernen>Zertifikate) für die Zertifikatsverwaltung. Entsprechende Anleitungen finden Sie im Internet.

In zentral verwalteten IT-Umgebungen mit Windows-Servern ("Active Directory") kann die Verteilung der Zertifikate per Gruppenrichtlinien (GPO) für alle angeschlossenen Systeme zentral und automatisiert bereitgestellt werden.

Mac OS X:
Die heruntergeladenen Zertifikate werden aufgerufen und dadurch automatisch in der Schlüsselbundverwaltung im Schlüsselbund "Anmeldung" gespeichert. LAufen auf dem System mehrere Anmeldungen, sollten die Zertifikate von RootCA und SubCA in den Schlüsselbund "System" kopiert werden.

andere Betriebssysteme:
Informieren Sie sich entsprechend der Dokumentationen Ihres Operating Systems (Linux, iOS, Android). Das gilt insbesondere für mobile Geräte wie Smartphones und Tablets.

[ Homepage | Impressum | Stand 18.04.2021 ]