~~NOTOC~~
====== 3. Zertifikate ausstellen ======

<WRAP round info>
**Szenarien:** 5 \\
**FFI-Funktionen:** ~35 \\
**Status:** ⏳ Geplant
</WRAP>

Diese Kategorie umfasst alle Szenarien zur Ausstellung von End-Entity-Zertifikaten. Server-, Client-, Code-Signing- und S/MIME-Zertifikate mit Post-Quantum-Algorithmen.

----

===== Szenarien =====

^  ID  ^  Szenario  ^  Beschreibung  ^  Komplexität  ^  Status  ^
| [[.:server_cert|3.1]] | Server-Zertifikat | TLS/HTTPS Server-Zertifikat ausstellen | ⭐⭐⭐ | ⏳ |
| [[.:client_cert|3.2]] | Client-Zertifikat | mTLS Client-Authentifizierung | ⭐⭐⭐ | ⏳ |
| [[.:codesign_cert|3.3]] | Code-Signing-Zertifikat | Software-Signierung | ⭐⭐⭐ | ⏳ |
| [[.:smime_cert|3.4]] | S/MIME-Zertifikat | E-Mail-Verschlüsselung und -Signierung | ⭐⭐⭐ | ⏳ |
| [[.:wildcard_cert|3.5]] | Wildcard-Zertifikat | *.domain.com Zertifikate | ⭐⭐⭐⭐ | ⏳ |

----

===== Zertifikatstypen =====

<mermaid>
flowchart TB
    CA[Intermediate-CA] --> |ausstellt| SRV[Server-Zertifikat]
    CA --> |ausstellt| CLI[Client-Zertifikat]
    CA --> |ausstellt| CS[Code-Signing]
    CA --> |ausstellt| SM[S/MIME]

    SRV --> |verwendet für| TLS[TLS/HTTPS]
    CLI --> |verwendet für| MTLS[mTLS Auth]
    CS --> |verwendet für| SIGN[Software-Signatur]
    SM --> |verwendet für| MAIL[E-Mail-Sicherheit]

    style CA fill:#e8f5e9
    style SRV fill:#e3f2fd
    style CLI fill:#fff3e0
    style CS fill:#fce4ec
    style SM fill:#f3e5f5
</mermaid>

----

===== Key Usage pro Zertifikatstyp =====

^  Typ  ^  Key Usage  ^  Extended Key Usage  ^  Gültigkeit  ^
| Server | digitalSignature, keyEncipherment | serverAuth | 1-2 Jahre |
| Client | digitalSignature | clientAuth | 1-2 Jahre |
| Code-Signing | digitalSignature | codeSigning | 2-3 Jahre |
| S/MIME | digitalSignature, keyEncipherment | emailProtection | 1-2 Jahre |

----

===== Branchenspezifische Anforderungen =====

^  Branche  ^  Zertifikatstyp  ^  Besonderheiten  ^
| **Energie/SCADA** | Server | Lange Gültigkeit (5+ Jahre), Offline-Validierung |
| **Healthcare** | Client | gematik-OIDs, eGK-Kompatibilität |
| **Automotive** | Server + Client | V2X-spezifische Extensions |
| **Industrie 4.0** | Server | OPC UA kompatibel, IEC 62443 |

----

===== Code-Schnellstart =====

<code csharp>
using WvdS.Security.Cryptography.X509Certificates.Extensions.PQ;

// CSR laden
var csr = ctx.LoadCertificateRequest("server.csr.pem");

// Mit Intermediate-CA signieren
using var serverCert = ctx.IssueCertificate(
    csr,
    issuerCert: intermediateCaCert,
    issuerKey: intermediateCaKey,
    serialNumber: ctx.GenerateSerialNumber(),
    validDays: 365,
    extensions: new ExtBuilder()
        .BasicConstraints(ca: false)
        .KeyUsage(KeyUsageFlags.DigitalSignature | KeyUsageFlags.KeyEncipherment)
        .ExtendedKeyUsage(ExtKeyUsage.ServerAuth)
        .SubjectKeyIdentifier(csr.PublicKey)
        .AuthorityKeyIdentifier(intermediateCaCert)
        .CrlDistributionPoint("http://crl.example.com/intermediate.crl")
        .Build()
);

serverCert.ToPemFile("server.crt.pem");
</code>

→ //Vollständiges Beispiel:// [[.:server_cert|Szenario 3.1]]

----

===== Verwandte Kategorien =====

^  Kategorie  ^  Beziehung  ^
| [[.:csr:start|2. CSR]] | CSR als Eingabe |
| [[.:verwaltung:start|4. Zertifikate verwalten]] | Ausgestellte Zertifikate verwalten |
| [[.:tls:start|10. TLS/mTLS]] | Server-Zertifikate deployen |

----

<< [[de:int:pqcrypt:szenarien:csr:start|← 2. CSR]] | [[de:int:pqcrypt:szenarien:start|↑ Szenarien]] | [[.:verwaltung:start|4. Zertifikate verwalten →]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>kategorie zertifikate ausstellen server client codesigning}}