4. Zertifikate verwalten
Szenarien: 4
FFI-Funktionen: ~30
Status: ⏳ Geplant
Diese Kategorie umfasst alle Szenarien zur Verwaltung des Zertifikats-Lebenszyklus. Renewal, Re-Key, Archivierung und Backup von Zertifikaten.
Szenarien
| ID | Szenario | Beschreibung | Komplexität | Status |
|---|---|---|---|---|
| 4.1 | Zertifikat erneuern (Renewal) | Ablaufendes Zertifikat verlängern | ⭐⭐⭐ | ⏳ |
| 4.2 | Schlüssel erneuern (Re-Key) | Neues Schlüsselpaar, neues Zertifikat | ⭐⭐⭐ | ⏳ |
| 4.3 | Zertifikate archivieren | Ablaufende Zertifikate sicher aufbewahren | ⭐⭐ | ⏳ |
| 4.4 | Backup & Recovery | Zertifikate und Schlüssel sichern | ⭐⭐⭐ | ⏳ |
Lebenszyklus
flowchart LR
subgraph ACTIVE["🟢 Aktiv"]
NEW[Neu ausgestellt]
INUSE[In Verwendung]
end
subgraph RENEWAL["🔄 Erneuerung"]
RENEW[Renewal]
REKEY[Re-Key]
end
subgraph END["⏹️ Ende"]
EXPIRE[Abgelaufen]
REVOKE[Widerrufen]
ARCHIVE[Archiviert]
end
NEW --> INUSE
INUSE --> RENEW --> INUSE
INUSE --> REKEY --> INUSE
INUSE --> EXPIRE --> ARCHIVE
INUSE --> REVOKE --> ARCHIVE
style INUSE fill:#e8f5e9
style REVOKE fill:#ffcdd2
Renewal vs Re-Key
| Operation | Schlüssel | Serial | Anwendungsfall |
|---|---|---|---|
| Renewal | Gleich | Neu | Schlüssel noch sicher, nur Gültigkeit verlängern |
| Re-Key | Neu | Neu | Kompromittierungsverdacht, Algorithmuswechsel |
Best Practice: Bei PQ-Migration immer Re-Key durchführen, um von klassischen auf ML-DSA umzustellen.
Automatisierung
| Trigger | Aktion | Vorlaufzeit |
|---|---|---|
| 30 Tage vor Ablauf | Warnung per E-Mail | - |
| 14 Tage vor Ablauf | Auto-Renewal starten | - |
| 7 Tage vor Ablauf | Eskalation | - |
| Ablauf | Zertifikat deaktivieren | - |
Code-Schnellstart
Renewal
// Bestehendes Zertifikat laden var oldCert = ctx.LoadCertificate("server.crt.pem"); var privateKey = ctx.LoadPrivateKey("server.key.pem", password); // Renewal: Neues Zertifikat mit gleichem Schlüssel var csr = ctx.CreateCertificateRequest(privateKey, oldCert.Subject); var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365); newCert.ToPemFile("server-renewed.crt.pem");
Re-Key
// Neues Schlüsselpaar generieren (z.B. Migration zu ML-DSA) using var newKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65); // CSR mit neuem Schlüssel, gleichem Subject var csr = ctx.CreateCertificateRequest(newKey, oldCert.Subject); var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365); // Alten Schlüssel sicher vernichten oldKey.Dispose();
Verwandte Kategorien
| Kategorie | Beziehung |
|---|---|
| 3. Zertifikate ausstellen | Neues Zertifikat bei Re-Key |
| 6. Widerruf | Altes Zertifikat bei Re-Key widerrufen |
| 11. Schlüsselmanagement | Schlüssel-Rotation |
« ← 3. Zertifikate ausstellen | ↑ Szenarien | 5. Validierung → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: den 29.01.2026 um 15:13
