X509-Zertifikate : Verwendungszwecke © Michael Kalinka, 2004
Serverzertifikate
Serverzertifikate dienen zwei Zwecken : im wesentlichen soll eine verschlüsselte Verbindung von Clients zu dem Server realisiert werden. Darüberhinaus wird der Server aber auch durch das Zertifikat authentifiziert.
Die Verwendung von X509-Zertifikaten findet in vielen Serverdiensten Anwendung, einige Beispiele sind hier Aufgelistet :
  1. Webserver mit SSL-Unterstützung (z.B. Apache)
  2. Datenbankserver mit SSL-Unterstützung (z.B. MySQL)
  3. Mailserver mit SSL-Unterstützung (z.B. Postfix)
  4. IPSEC VPN - Layer3 mit X509-Authentifizierung (z.B. FreeS/WAN)
  5. LDAP Server mit SSL-Unterstützung (z.B. OpenLDAP)
Userzertifikate (Clientzertifikate)
Userzertifikate dienen dazu, einen User als Client zu authentifizieren. Von unterschiedlichen Serveranwendungen kann eine solche Authentifizierung verlangt werden.
Die Authentifizierung erfolgt nicht allein durch Prüfung der Signatur, sondern durch das Challenge-Response-Verfahren:
Verlangt der Server eine Clientauthentifizierung, so fordert er vom Client das Clientzerifikat. Zudem sendet er dem Client eine Information, die zu diesem Zeitpunkt nur dem Server bekannt ist (Challenge). Der Client signiert diesen Challenge mit seinem privatekey und sendet dieses an den Server zurück (Response). Mit dem vorher gelieferten Clientzertifikat kann der Server den Response entschlüsseln und mit dem Challenge vergleichen. Stimmen Challenge und Response überein, so besteht die Sicherheit, daß der Client im Besitz des privatekeys zum gesendeten publickey ist.
Zertifizierungszertifikate (CA-Zertifikate)
Zertifizierungszertifikate sind Zertifikate, mit denen weitere Zertifikate ausgestellt werden dürfen. Eine oberste Zertifizierungsinstanz besitzt eines, das selbstsigniert ist. Die oberste Instanz kann aber auch weitere CA-Zertifikate an untergeordnete CAs verteilen. Dieses Verfahren führt zum Aufbau von mehrstufigen Zertifizierungsinstanzen (Hierarchien)
Anwendungszertifikate
Anwendungszertifikate sind Zertifikate, die die Ausführung von Anwendungen absichern. Auch die Verwendung eines Betriebssystems kann so abgesichert werden (Stichwort: TCPA-Chip).