Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Was ist AWS Private CA?
AWS Private CA ermöglicht die Erstellung von Hierarchien privater Zertifizierungsstellen (CA), einschließlich Stamm- und untergeordneter Zertifizierungsstellen CAs, ohne dass die Investitions- und Wartungskosten für den Betrieb einer lokalen Zertifizierungsstelle anfallen. Ihre private Firma CAs kann X.509-Zertifikate für Endeinheiten ausstellen, die unter anderem in folgenden Szenarien nützlich sind:
+ Erstellen verschlüsselter TLS-Kommunikationskanäle
+ Authentifizieren von Benutzern, Computern, API-Endpunkten und IoT-Geräten
+ Kryptografische Code-Signatur
+ Implementieren des Online Certificate Status Protocol (OCSP) zum Abrufen des Zertifikatswiderrufungsstatus
AWS Private CA Auf Operationen kann über die AWS-Managementkonsole, über die AWS Private CA API oder über die zugegriffen werden. AWS CLI
**Topics**
+ [Regionale Verfügbarkeit für AWS Private Certificate Authority](#PcaRegions)
+ [Dienste integriert mit AWS Private Certificate Authority](#PcaIntegratedServices)
+ [Unterstützte kryptografische Algorithmen in AWS Private Certificate Authority](#supported-algorithms)
+ [RFC 5280-Konformität in AWS Private Certificate Authority](#RFC-compliance)
+ [Preisgestaltung für AWS Private Certificate Authority](#PcaPricing)
+ [Begriffe und Konzepte für AWS Private CA](PcaTerms.md)
## Regionale Verfügbarkeit für AWS Private Certificate Authority
Wie bei den meisten AWS Ressourcen handelt es sich auch bei privaten Zertifizierungsstellen (CAs) um regionale Ressourcen. Um private CAs in mehr als einer Region verwenden zu können, müssen Sie Ihre CAs in diesen Regionen erstellen. Private Daten können nicht CAs zwischen Regionen kopiert werden. Besuchen Sie [AWS Regionen und -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region) in der *Allgemeine AWS-Referenz* oder die[Tabelle der AWS -Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/), um mehr über die regionale Verfügbarkeit für AWS Private CA zu erfahren.
**Anmerkung**
ACM ist derzeit in einigen Regionen verfügbar, in denen dies nicht der AWS Private CA Fall ist.
## Dienste integriert mit AWS Private Certificate Authority
Wenn Sie AWS Certificate Manager ein privates Zertifikat anfordern, können Sie dieses Zertifikat mit jedem Dienst verknüpfen, der in ACM integriert ist. Dies gilt sowohl für Zertifikate, die mit einem AWS Private CA Stamm verkettet sind, als auch für Zertifikate, die mit einem externen Stamm verkettet sind. Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter [Integrierte Dienste](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html).
Sie können Private auch CAs in Amazon Elastic Kubernetes Service integrieren, um die Ausstellung von Zertifikaten innerhalb eines Kubernetes-Clusters zu ermöglichen. Weitere Informationen finden Sie unter [Kubernetes sichern mit AWS Private Certificate Authority](PcaKubernetes.md).
**Anmerkung**
Amazon Elastic Kubernetes Service ist kein integrierter ACM-Service.
Wenn Sie die AWS Private CA API verwenden, ein Zertifikat AWS CLI ausstellen oder ein privates Zertifikat aus ACM exportieren, können Sie das Zertifikat an einem beliebigen Ort installieren.
## Unterstützte kryptografische Algorithmen in AWS Private Certificate Authority
AWS Private CA unterstützt die folgenden kryptografischen Algorithmen für die Generierung privater Schlüssel und das Signieren von Zertifikaten.
**Unterstützter Algorithmus**
| Algorithmen mit privaten Schlüsseln | Signaturalgorithmen |
| --- | --- |
| ML\$1DSA\$144 ML\$1DSA\$165 ML\$1DSA\$187 RSA\$12048 RSA\$13072 RSA\$14096 EC\$1Prime256V1 EC\$1SECP384R1 EC\$1SECP521R1 SM2 (nur Regionen China) | ML\$1DSA\$144ML\$1DSA\$165ML\$1DSA\$187 SHA256MIT RSASHA384MIT RSASHA512MIT RSASHA256MIT ECDSA SHA384MIT ECDSASHA512MIT ECDSASM3WITHSM2 |
Diese Liste gilt nur für Zertifikate, die direkt AWS Private CA über die Konsole, API oder Befehlszeile ausgestellt wurden. Wenn AWS Certificate Manager Zertifikate mithilfe einer Zertifizierungsstelle von ausgestellt werden AWS Private CA, werden einige, aber nicht alle dieser Algorithmen unterstützt. Weitere Informationen finden Sie unter [Anfordern eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) im AWS Certificate Manager Benutzerhandbuch.
**Anmerkung**
Für RSA oder ECDSA muss die angegebene Signaturalgorithmusfamilie mit der Schlüsselalgorithmusfamilie des privaten Schlüssels der CA übereinstimmen.
Für ML-DSA ist die Hash-Funktion als Teil des Algorithmus selbst definiert. Bei ML-DSA gibt es keine Möglichkeit, eine andere Hash-Funktion auszuwählen. Um die Abwärtskompatibilität mit dem aufrechtzuerhalten APIs, wird derselbe Wert für den Schlüsselalgorithmus und den Signaturalgorithmus verwendet.
## RFC 5280-Konformität in AWS Private Certificate Authority
AWS Private CA [erzwingt bestimmte in RFC 5280 definierte Einschränkungen nicht.](https://datatracker.ietf.org/doc/html/rfc5280) Umgekehrt gilt dies auch: Bestimmte zusätzliche Einschränkungen, die für eine private Zertifizierungsstelle geeignet sind, werden erzwungen.
**Erzwungen**
+ [Not After date](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5) (Nicht-nach-Datum). Gemäß [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) verhindert AWS Private CA die Ausstellung von Zertifikaten, deren `Not After`-Datum später als das `Not After`-Datum des Zertifikats der ausstellenden CA ist.
+ [Grundlegende Einschränkungen](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9). AWS Private CA erzwingt grundlegende Einschränkungen und die Pfadlänge in importierten CA-Zertifikaten.
Grundlegende Einschränkungen geben an, ob es sich bei der durch das Zertifikat identifizierten Ressource um eine Zertifizierungsstelle handelt und ob diese Zertifikate ausstellen kann. In AWS Private CA importierte CA-Zertifikate müssen die Erweiterung für grundlegende Einschränkungen enthalten, und die Erweiterung muss markiert sein `critical`. Zusätzlich zum `critical` Flag `CA=true` muss es gesetzt werden. AWS Private CA erzwingt grundlegende Einschränkungen, indem eine Validierungsausnahme aus den folgenden Gründen fehlschlägt:
+ Die Erweiterung ist nicht im CA-Zertifikat enthalten.
+ Die Erweiterung ist nicht markiert `critical`.
Die Pfadlänge ([pathLenConstraint](PcaTerms.md#terms-pathlength)) bestimmt, wie viele untergeordnete Objekte hinter dem importierten CA-Zertifikat existieren CAs können. AWS Private CA erzwingt die Pfadlänge, indem es aus den folgenden Gründen mit einer Validierungsausnahme fehlschlägt:
+ Das Importieren eines CA-Zertifikats würde die Pfadlängenbeschränkung im CA-Zertifikat oder in einem anderen CA-Zertifikat in der Kette verletzen.
+ Das Ausstellen eines Zertifikats würde eine Pfadlängenbeschränkung verletzen.
+ [Namenseinschränkungen](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) geben einen Namensraum an, in dem sich alle Antragstellernamen in nachfolgenden Zertifikaten in einem Zertifizierungspfad befinden müssen. Einschränkungen gelten für den eindeutigen Namen des Antragstellers und für alternative Namen des Antragstellers.
**Nicht erzwungen**
+ [Zertifikatsrichtlinien](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4). Zertifikatsrichtlinien regeln die Bedingungen, unter denen eine Zertifizierungsstelle Zertifikate ausstellt.
+ [Blockieren Sie AnyPolicy](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14). Wird in Zertifikaten verwendet, die ausgestellt wurden für. CAs
+ [Alternativer Name des Ausstellers](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7). Ermöglicht die Zuordnung zusätzlicher Identitäten zum Aussteller des CA-Zertifikats.
+ [Politische Einschränkungen](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11). Diese Einschränkungen begrenzen die Kapazität einer Zertifizierungsstelle zum Ausstellen untergeordneter CA-Zertifikate.
+ [Zuordnungen von Richtlinien](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5). Wird in CA-Zertifikaten verwendet. Listet ein oder mehrere Paare von auf OIDs; jedes Paar enthält ein issuerDomainPolicy und subjectDomainPolicy a.
+ [Attribute des Betreffverzeichnisses](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8). Wird verwendet, um Identifikationsattribute des Betreffs zu vermitteln.
+ [Zugriff auf Informationen zum Fachgebiet](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2). So greifen Sie auf Informationen und Dienste für den Betreff des Zertifikats zu, in dem die Erweiterung enthalten ist.
+ [Subject Key Identifier (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) und [Authority Key Identifier (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1). Das RFC benötigt ein CA-Zertifikat, um die SKI-Erweiterung zu enthalten. Von der Zertifizierungsstelle ausgestellte Zertifikate müssen eine AKI-Erweiterung enthalten, die der SKI des CA-Zertifikats entspricht. AWS erzwingt diese Anforderungen nicht. Wenn Ihr CA-Zertifikat keinen SKI enthält, ist das ausgestellte Endentitäts- oder das untergeordnete CA-Zertifikat stattdessen der SHA-1-Hash des öffentlichen Schlüssels des Ausstellers.
+ [SubjectPublicKeyInfo](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1)und [Alternativer Betreffname (SAN)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6). Beim Ausstellen eines Zertifikats werden die Erweiterungen SubjectPublicKeyInfo und die SAN-Erweiterungen aus der bereitgestellten CSR AWS Private CA kopiert, ohne eine Überprüfung durchzuführen.
## Preisgestaltung für AWS Private Certificate Authority
Ihrem Konto wird ab dem Zeitpunkt, zu dem Sie sie erstellen, ein monatlicher Preis für jede private CA in Rechnung gestellt. Zudem wird Ihnen für jedes ausgestellte Zertifikat eine Gebühr berechnet. Diese Gebühr beinhaltet Zertifikate, die Sie aus ACM exportieren, und Zertifikate, die Sie über die AWS Private CA API oder AWS Private CA CLI erstellen. Für eine private CA wird nichts mehr berechnet, nachdem sie gelöscht wurde. Wenn Sie aber eine gelöschte CA wiederherstellen, bezahlen Sie für die Zeit zwischen Löschung und Wiederherstellung. Private Zertifikate, auf deren privaten Schlüssel Sie nicht zugreifen können, sind kostenlos. Dazu gehören Zertifikate, die mit [integrierten Diensten](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) wie Elastic Load Balancing und API Gateway verwendet werden. CloudFront
Die neuesten AWS Private CA Preisinformationen finden Sie unter [AWS Private Certificate Authority Preise](https://aws.amazon.com/private-ca/pricing/). Sie können auch den [AWS Preisrechner](https://calculator.aws/#/createCalculator/certificateManager) verwenden, um die Kosten zu schätzen.
# Begriffe und Konzepte für AWS Private CA
Die folgenden Begriffe und Konzepte können Ihnen bei der Arbeit mit helfen AWS Private Certificate Authority.
**Topics**
+ [Vertrauensstellung](#terms-trust)
+ [TLS-Serverzertifikate](#terms-tlscert)
+ [Signatur des Zertifikats](#terms-signing)
+ [Zertifizierungsstelle](#terms-ca)
+ [Stammzertifizierungsstelle](#terms-rootca)
+ [CA-Zertifikat](#terms-ca-cert)
+ [CA-Stammzertifikat](#terms-root)
+ [Zertifikat der endgültigen Entität](#terms-endentity)
+ [Selbstsignierte Zertifikate](#terms-selfsignedcert)
+ [Privates Zertifikat](#terms-pca-cert)
+ [Zertifikatspfad](#terms-certpath)
+ [Beschränkung der Pfadlänge](#terms-pathlength)
## Vertrauensstellung
Damit ein Webbrowser der Identität einer Website vertraut, muss der Browser das Zertifikat der Website überprüfen können. Browser vertrauen jedoch nur einer kleinen Anzahl von Zertifikaten, die als CA-Stammzertifikate bekannt sind. Ein vertrauenswürdiger Dritter, als Zertifikatsstelle (Certificate Authority, CA) bezeichnet, validiert die Identität der Website und stellt ein signiertes digitales Zertifikat für den Betreiber der Website aus. Der Browser kann dann die digitale Signatur überprüfen, um die Identität der Website zu validieren. Wenn die Validierung erfolgreich ist, zeigt der Browser ein Schlosssymbol in der Adressleiste an.
## TLS-Serverzertifikate
HTTPS-Transaktionen erfordern Serverzertifikate zur Authentifizierung eines Servers. Ein Serverzertifikat ist eine X.509-v3-Datenstruktur, mit der der öffentliche Schlüssel im Zertifikat an das Subject des Zertifikats gebunden wird. Ein TLS-Zertifikat wird von einer Zertifizierungsstelle (CA) signiert. Es enthält den Namen des Servers, den Gültigkeitszeitraum, den öffentlichen Schlüssel, den Signaturalgorithmus und vieles mehr.
## Signatur des Zertifikats
Eine digitale Signatur ist ein verschlüsselter Hash über ein Zertifikat. Eine Signatur wird verwendet, um die Integrität der Zertifikatdaten zu bestätigen. Ihre private Zertifizierungsstelle erstellt eine Signatur mithilfe einer kryptografischen Hash-Funktion, z. B. SHA256 über dem Inhalt des Zertifikats mit variabler Größe. Diese Hash-Funktion erzeugt eine effektiv fälschungssichere Datenzeichenfolge mit fester Größe. Diese Zeichenfolge wird als Hash bezeichnet. Die Zertifizierungsstelle verschlüsselt dann den Hash-Wert mit dem privaten Schlüssel und verkettet den verschlüsselten Hash mit dem Zertifikat.
## Zertifizierungsstelle
Eine Zertifizierungsstelle (Certificate Authority, CA) stellt digitale Zertifikate aus und widerruft sie bei Bedarf. Der gängigste Zertifikatstyp basiert auf dem ISO X.509-Standard. Ein X.509-Zertifikat bestätigen die Identität des Zertifikatantragstellers und bindet die Identität an einen öffentlichen Schlüssel. Dabei kann es sich um einen Benutzer, eine Anwendung, einen Computer oder ein anderes Gerät handeln. Die Zertifizierungsstelle signiert ein Zertifikat, indem der Inhalt gehasht wird und der Hash dann mit dem privaten Schlüssel verschlüsselt wird, der mit dem öffentlichen Schlüssel im Zertifikat verbunden ist. Eine Client-Anwendung wie z. B. ein Webbrowser, der die Identität eines Antragstellers bestätigen muss, verwendet den öffentlichen Schlüssel zum Entschlüsseln der Zertifikatsignatur. Anschließend wird der Inhalt des Zertifikats gehasht und der gehashte Wert mit der entschlüsselten Signatur verglichen, um festzustellen, ob sie übereinstimmen. Weitere Informationen zur Zertifikatsignatur finden Sie unter [Signatur des Zertifikats](#terms-signing).
Sie können AWS Private CA damit eine private Zertifizierungsstelle erstellen und die private Zertifizierungsstelle verwenden, um Zertifikate auszustellen. Ihre private Zertifizierungsstelle stellt nur private SSL/TLS Zertifikate zur Verwendung innerhalb Ihrer Organisation aus. Weitere Informationen finden Sie unter [Privates Zertifikat](#terms-pca-cert). Ihre private Zertifizierungsstelle erfordert auch ein Zertifikat, bevor Sie sie verwenden können. Weitere Informationen finden Sie unter [CA-Zertifikat](#terms-ca-cert).
## Stammzertifizierungsstelle
Eine Stammzertifizierungsstelle ist ein kryptografischer Baustein und der Ausgangspunkt für das Ausstellen vertrauenswürdiger Zertifikate. Sie besteht aus einem privaten Schlüssel zur Unterzeichnung (Ausstellung) von Zertifikaten und einem Stammzertifikat, das die Stammzertifizierungsstelle identifiziert und den privaten Schlüssel mit ihrem Namen verknüpft. Das Stammzertifikat wird an die Vertrauensspeicher jeder Entität in einer Umgebung verteilt. Administratoren erstellen Vertrauensspeicher, die nur Vertrauensspeicher enthalten CAs , denen sie vertrauen. Administratoren aktualisieren oder integrieren die Trust Stores in die Betriebssysteme, Instanzen und Host-Maschinen-Images der Entitäten in ihrer Umgebung. Versuchen Ressourcen, gegenseitig eine Verbindung herzustellen, werden die Zertifikate der jeweiligen Entitäten überprüft. Ein Client prüft die Zertifikate auf ihre Gültigkeit und darauf, ob eine Kette vom Zertifikat zu einem Stammzertifikat im Trust Store vorhanden ist. Wenn diese Bedingungen erfüllt sind, erfolgt ein „Handshake“ zwischen den Ressourcen. Dieser „Handshake“ weist die Identität der einzelnen Entitäten gegenüber den anderen kryptografisch nach und richtet einen verschlüsselten Kommunikationskanal (TLS/SSL) zwischen diesen ein.
## CA-Zertifikat
Ein Zertifizierungsstellenzertifikat bestätigt die Identität einer Zertifizierungsstelle und bindet sie an den öffentlichen Schlüssel, der im Zertifikat enthalten ist.
Sie können AWS Private CA es verwenden, um eine private Stammzertifizierungsstelle oder eine private untergeordnete Zertifizierungsstelle zu erstellen, die jeweils durch ein Zertifizierungsstellenzertifikat abgesichert sind. Untergeordnete CA-Zertifikate werden von einem anderen CA-Zertifikat in einer Vertrauenskette signiert. Bei einer Stammzertifizierungsstelle ist das Zertifikat jedoch selbstsigniert. Sie können auch eine externe Stammzertifizierungsstelle einrichten (z. B. lokal gehostet). Anschließend können Sie mit Ihrer Stammzertifizierungsstelle ein untergeordnetes Stamm-CA-Zertifikat signieren, das von AWS Private CA gehostet wird.
Das folgende Beispiel zeigt die typischen Felder, die in einem AWS Private CA X.509-CA-Zertifikat enthalten sind. Beachten Sie, dass für ein CA-Zertifikat der `CA:`-Wert im Feld `Basic Constraints` auf `TRUE` festgelegt ist.
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 4121 (0x1019)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp, CN=www.example.com/emailAddress=corp@www.example.com
Validity
Not Before: Feb 26 20:27:56 2018 GMT
Not After : Feb 24 20:27:56 2028 GMT
Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate Office, CN=www.example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c0: ... a3:4a:51
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9
X509v3 Authority Key Identifier:
keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
6:bb:94: ... 80:d8
```
## CA-Stammzertifikat
Eine Zertifizierungsstelle (CA) befindet sich in der Regel innerhalb einer hierarchischen Struktur, die mehrere andere CAs mit klar definierten Eltern-Kind-Beziehungen zwischen ihnen enthält. Untergeordnete oder untergeordnete Personen CAs werden von ihren Eltern zertifiziert CAs, wodurch eine Zertifikatskette entsteht. Die CA oben in der Hierarchie wird als die Stamm-CA bezeichnet und ihr Zertifikat wird Stammzertifikat genannt. Dieses Zertifikat ist in der Regel selbstsigniert.
## Zertifikat der endgültigen Entität
Ein Endzertifizierungszertifikat identifiziert eine Ressource, z. B. einen Server, eine Instanz, einen Container oder ein Gerät. Im Gegensatz zu CA-Zertifikaten können Entity-Zertifikate nicht zur Ausstellung von Zertifikaten verwendet werden. Andere gebräuchliche Begriffe für Endzertifikate sind „Client“ oder „Leaf“ -Zertifikat.
## Selbstsignierte Zertifikate
Ein Zertifikat, das anstatt von einer höheren Zertifizierungsstelle vom Aussteller signiert ist. Im Gegensatz zu Zertifikaten, die von einem sicheren Stamm ausgestellt wurden, der von einer Zertifizierungsstelle verwaltet wird, fungieren selbstsignierte Zertifikate als eigene Stammzertifikate und weisen daher erhebliche Einschränkungen auf: Sie können zur Verschlüsselung auf der Leitung verwendet werden, aber nicht zur Überprüfung der Identität, und sie können nicht gesperrt werden. Sie sind aus sicherheitstechnischer Sicht inakzeptabel. Organisationen nutzen sie dennoch, weil sie einfach zu generieren sind, kein Fachwissen und keine Infrastruktur benötigen und von vielen Anwendungen akzeptiert werden. Es gibt keine Kontrollen für die Ausstellung von selbstsignierten Zertifikaten. Organisationen, die selbstsignierte Zertifikate verwenden, gehen ein höheres Risiko für Ausfälle ein, welche durch das Ablaufen von Zertifikaten verursacht werden, denn sie verfügen über keine Möglichkeit, die Ablaufdaten nachzuverfolgen.
## Privates Zertifikat
AWS Private CA Zertifikate sind private SSL/TLS Zertifikate, die Sie innerhalb Ihrer Organisation verwenden können, die jedoch im öffentlichen Internet nicht vertrauenswürdig sind. Verwenden Sie sie zum Identifizieren von Ressourcen wie z. B. Clients, Servern, Anwendungen, Services, Geräten und Benutzern. Wenn ein sicherer verschlüsselter Kommunikationskanal hergestellt wird, verwendet jede Ressource ein Zertifikat wie das folgende sowie Verschlüsselungstechniken zum Nachweis ihrer Identität an eine andere Ressource. Interne API-Endpunkte, Webserver, VPN-Benutzer, IoT-Geräte und zahlreiche weitere Anwendungen verwenden private Zertifikate zur Herstellung von verschlüsselten Kommunikationskanälen, die für ihre sichere Operation notwendig sind. Private Zertifikate sind standardmäßig nicht öffentlich vertrauenswürdig. Ein interner Administrator muss Anwendungen explizit konfigurieren, damit sie privaten Zertifikaten vertrauen und diese verteilen.
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate, CN=www.example.com
Validity
Not Before: Feb 26 18:39:57 2018 GMT
Not After : Feb 26 19:39:57 2019 GMT
Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales, CN=www.example.com/emailAddress=sales@example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00...c7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 Subject Key Identifier:
C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl
Signature Algorithm: sha256WithRSAEncryption
58:32:...:53
```
## Zertifikatspfad
Ein Client, der auf ein Zertifikat angewiesen ist, überprüft, ob ein Pfad vom Endzertifikat der Entität, möglicherweise über eine Kette von Zwischenzertifikaten, zu einem vertrauenswürdigen Stammzertifikat existiert. Der Client überprüft, ob alle Zertifikate des Pfads gültig sind (nicht widerrufen). Außerdem wird überprüft, ob das Endzertifikat nicht abgelaufen ist, seine Integrität besitzt (nicht manipuliert oder verändert wurde) und ob die Beschränkungen im Zertifikat durchgesetzt werden.
## Beschränkung der Pfadlänge
Die grundlegenden Einschränkungen *pathLenConstraint*für ein CA-Zertifikat legen die Anzahl der untergeordneten CA-Zertifikate fest, die in der darunter liegenden Kette vorhanden sein können. Beispielsweise kann ein CA-Zertifikat mit einer Pfadlängenbeschränkung von Null kein untergeordnetes CAs Zertifikat haben. Einer Zertifizierungsstelle mit einer Pfadlängenbeschränkung von eins kann bis zu einer untergeordneten Ebene untergeordnet sein CAs . [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) definiert dies als „die maximale Anzahl von non-self-issued Zwischenzertifikaten, die diesem Zertifikat in einem gültigen Zertifizierungspfad folgen können“. Der Wert für die Pfadlänge schließt das Endzertifikat aus, obwohl es in informellen Formulierungen über die „Länge“ oder „Tiefe“ einer Validierungskette enthalten sein kann... was zu Verwirrung führen kann.