15 Zertifikat im Detail

Inhalt

15 Zertifikat im Detail

In Kapitel 7.3 haben Sie sich schon den Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben zu Ihrem Zertifikat sind dort aufgelistet. Im folgenden Abschnitt erhalten Sie einen genaueren Überblick über die wichtigsten Punkte, mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP- und X.509-Zertifikaten. Es geht hierbei um:

• die Benutzerkennung
• den Fingerabdruck
• die Schlüssel-ID
• die Gültigkeit
• das Vertrauen in den Zertifikatsinhaber (nur OpenPGP)
• die Beglaubigungen (nur OpenPGP)

Die Benutzerkennung

besteht aus dem Namen und der E-Mail-Adresse, die Sie während der Zertifikatserzeugung eingegeben haben, also z.B.:
Heinrich Heine <heinrich@gpg4win.de>

Für OpenPGP-Zertifikate können Sie mit Kleopatra über den Menüpunkt Zertifikate -> Benutzerkennung hinzufügen... Ihr Zertifikat um weitere Benutzerkennungen erweitern. Das ist dann sinnvoll, wenn Sie z.B. für eine weitere E-Mail-Adresse dasselbe Zertifikat nutzen möchten.

Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra nur für OpenPGP-Zertifikate möglich, nicht aber für X.509.

Der Fingerabdruck

wird verwendet, um mehrere Zertifikate voneinander zu unterscheiden. Mit dieser Kennung können Sie nach (öffentlichen) Zertifikaten suchen, die z.B. auf einem weltweit verfügbaren OpenPGP-Zertifikatsserver (engl. „key server“) oder auf einem X.509-Zertifikatsserver liegen. Was Zertifikatsserver sind, erfahren Sie im folgenden Kapitel.

Die Schlüssel-ID

(auch Schlüsselkennung genannt) besteht aus den letzten acht Stellen des Fingerabdrucks und erfüllt denselben Zweck wie dieser. Die wesentlich geringere Länge macht die Schlüsselkennung einfacher handhabbar, erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche Zertifikate mit derselben Kennung).

Die Gültigkeit

von Zertifikaten bezeichnet die Dauer ihrer Gültigkeit und ggf. ihr Verfallsdatum.

Für OpenPGP-Zertifikate ist die Gültigkeit normalerweise auf Unbegrenzt gesetzt. Sie können dies mit Kleopatra ändern, indem Sie auf die Schaltfläche [Ablaufdatum ändern] in den Zertifikatsdetails klicken - oder das Menü Zertifikate -> Ablaufdatum ändern auswählen - und ein neues Datum eintragen. Damit können Sie Zertifikate für eine begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter auszugeben.

Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der Zertifikatsausstellung von der Beglaubigungsinstanz (CA) festgelegt und kann nicht vom Nutzer geändert werden.

Das Vertrauen in den Zertifikatsinhaber

beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer des OpenPGP-Zertifikats echt (authentisch) ist und auch andere OpenPGP-Zertifikate korrekt beglaubigen wird. Sie können das Vertrauen über die Schaltfläche [Vertrauen in den Zertifikatsinhaber ändern] in den Zertifikatsdetails oder über das Menü Zertifikate -> Vertrauensstatus ändern einstellen.

Der Vertrauensstatus ist nur für OpenPGP-Zertifikate relevant. Für X.509-Zertifikate gibt es diese Methode der Vertrauensstellung nicht.

Die Beglaubigungen

Ihres OpenPGP-Zertifikats beinhalten die Benutzerkennungen derjenigen Zertifikatsinhaber, die sich von der Echtheit Ihres Zertifikats überzeugt und es dann auch beglaubigt haben. Das Vertrauen in die Echtheit Ihres Zertifikats steigt mit der Anzahl an Beglaubigungen, die Sie von anderen Nutzern erhalten.

Beglaubigungen sind nur für OpenPGP-Zertifikate relevant. Für X.509-Zertifikate gibt es diese Methode der Vertrauensstellung nicht.

Diese Zertifikatsdetails müssen Sie für die tagtägliche Benutzung von Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie neue Zertifikate erhalten oder ändern wollen.

Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das „Netz des Vertrauens“ ist, haben Sie bereits in Kapitel 11 gelesen.

15 Zertifikat im Detail

Inhalt