Beim Bereitstellen eines Replikationssystems wird eine große Anzahl von Zertifikaten benötigt. Die Verantwortung für so viele Zertifikate ist unter Umständen für die Zertifizierungsstelle zu groß. Um die Belastung zu reduzieren, kann die Zertifizierungsstelle die Signierung an andere Stellen delegieren. In diesem Fall signiert die Zertifizierungsstelle ein Zertifikat dieser Stelle. Die untergeordnete Zertifizierungsstelle signiert anschließend Zertifikate unter Verwendung des privaten Schlüssels, der dem Schlüssel in diesem Zertifikat entspricht.
Eine Zertifikatskette besteht aus einer Reihe von Zertifikaten, die sich gegenseitig signieren. Eigentümer des abschließenden Zertifikats, des sogenannten Stammzertifikats, ist eine Zertifizierungsstelle. Ein Serverzertifikat kann beispielsweise von einer untergeordneten Zertifizierungsstelle signiert werden. Das Zertifikat der untergeordneten Zertifizierungsstelle kann von der übergeordneten Zertifizierungsstelle signiert werden. Der öffentliche Schlüssel der Zertifizierungsstelle befindet sich in einem dritten Zertifikat. Eine solche Zertifikatskette umfasst drei Zertifikate.
Eine untergeordnete Zertifizierungsstelle kann wiederum über untergeordnete Stellen verfügen. Eine Zertifikatskette kann auf diese Weise eine beliebige Länge annehmen. Das abschließende Zertifikat ist jedoch stets ein selbstsigniertes Stammzertifikat, dessen Eigentümer eine Zertifizierungsstelle ist.
Um einer Kette zu vertrauen, muss sich ein Benutzer auf folgende Punkte verlassen können:
Bevor die Zertifikate signiert werden, haben sich die Stammzertifizierungsstelle und alle untergeordneten Zertifizierungsstellen vergewissert, dass die Identitätsinformationen in den Zertifikaten korrekt sind.
Jeder private Schlüssel ist nur dem Eigentümer bekannt.
Der Benutzer verfügt über eine zuverlässige Kopie des öffentlichen Schlüssels der Zertifizierungsstelle.
Alle diese Bedingungen sind äußerst wichtig. Die Zertifikatskette ist immer nur so stark wie ihr schwächstes Glied.
SQL Anywhere Studio 9.0.1
Copyright © 1989–2004 Sybase Inc. Teil-Copyright © 2001–2004 iAnywhere Solutions Inc. Alle Rechte vorbehalten.