4.6 Zertifikat-Verwaltung

Verwaltung der PQ-Zertifikate.

Zertifikat-Typen

Typ	Speicherort	Rotation
Server-Zertifikat	%CERTS_PATH%\server.pfx	Jährlich
Root-CA	%CERTS_PATH%\CA\root-ca.crt	10+ Jahre
Client-Zertifikate	Ausgestellt per CA	Jährlich

Server-Zertifikat erneuern

# 1. Neues Zertifikat anfordern
# 2. Proxy-Konfiguration aktualisieren
# 3. Proxy-Dienst neu starten
 
Restart-Service "DataGatewayProxy"

Client-Zertifikate ausstellen

# CSR von Client erhalten
# Zertifikat signieren
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key \
    -CAcreateserial -out client.crt -days 365

Widerruf (Revocation)

# Zertifikat widerrufen
openssl ca -revoke client.crt -keyfile ca.key -cert ca.crt
 
# CRL aktualisieren
openssl ca -gencrl -out ca.crl -keyfile ca.key -cert ca.crt

Trust-Server

Der zentrale Trust-Server validiert Zertifikate:

POST https://trust.intern/api/validate
{
  "certificate": "base64-encoded-cert",
  "purpose": "client-auth"
}

Antwort:

{
  "valid": true,
  "subject": "CN=developer1",
  "issuer": "CN=Internal CA",
  "expiresAt": "2025-12-31T23:59:59Z"
}

PQ-Crypto Bibliothek

Für die programmatische Zertifikatverwaltung mit PQ-Unterstützung siehe: