3. Zertifikate ausstellen
Szenarien: 5
FFI-Funktionen: ~35
Status: ⏳ Geplant
Diese Kategorie umfasst alle Szenarien zur Ausstellung von End-Entity-Zertifikaten. Server-, Client-, Code-Signing- und S/MIME-Zertifikate mit Post-Quantum-Algorithmen.
Szenarien
| ID | Szenario | Beschreibung | Komplexität | Status |
|---|---|---|---|---|
| 3.1 | Server-Zertifikat | TLS/HTTPS Server-Zertifikat ausstellen | ⭐⭐⭐ | ⏳ |
| 3.2 | Client-Zertifikat | mTLS Client-Authentifizierung | ⭐⭐⭐ | ⏳ |
| 3.3 | Code-Signing-Zertifikat | Software-Signierung | ⭐⭐⭐ | ⏳ |
| 3.4 | S/MIME-Zertifikat | E-Mail-Verschlüsselung und -Signierung | ⭐⭐⭐ | ⏳ |
| 3.5 | Wildcard-Zertifikat | *.domain.com Zertifikate | ⭐⭐⭐⭐ | ⏳ |
Zertifikatstypen
flowchart TB
CA[Intermediate-CA] --> |ausstellt| SRV[Server-Zertifikat]
CA --> |ausstellt| CLI[Client-Zertifikat]
CA --> |ausstellt| CS[Code-Signing]
CA --> |ausstellt| SM[S/MIME]
SRV --> |verwendet für| TLS[TLS/HTTPS]
CLI --> |verwendet für| MTLS[mTLS Auth]
CS --> |verwendet für| SIGN[Software-Signatur]
SM --> |verwendet für| MAIL[E-Mail-Sicherheit]
style CA fill:#e8f5e9
style SRV fill:#e3f2fd
style CLI fill:#fff3e0
style CS fill:#fce4ec
style SM fill:#f3e5f5
Key Usage pro Zertifikatstyp
| Typ | Key Usage | Extended Key Usage | Gültigkeit |
|---|---|---|---|
| Server | digitalSignature, keyEncipherment | serverAuth | 1-2 Jahre |
| Client | digitalSignature | clientAuth | 1-2 Jahre |
| Code-Signing | digitalSignature | codeSigning | 2-3 Jahre |
| S/MIME | digitalSignature, keyEncipherment | emailProtection | 1-2 Jahre |
Branchenspezifische Anforderungen
| Branche | Zertifikatstyp | Besonderheiten |
|---|---|---|
| Energie/SCADA | Server | Lange Gültigkeit (5+ Jahre), Offline-Validierung |
| Healthcare | Client | gematik-OIDs, eGK-Kompatibilität |
| Automotive | Server + Client | V2X-spezifische Extensions |
| Industrie 4.0 | Server | OPC UA kompatibel, IEC 62443 |
Code-Schnellstart
using WvdS.Security.Cryptography.X509Certificates.Extensions.PQ; // CSR laden var csr = ctx.LoadCertificateRequest("server.csr.pem"); // Mit Intermediate-CA signieren using var serverCert = ctx.IssueCertificate( csr, issuerCert: intermediateCaCert, issuerKey: intermediateCaKey, serialNumber: ctx.GenerateSerialNumber(), validDays: 365, extensions: new ExtBuilder() .BasicConstraints(ca: false) .KeyUsage(KeyUsageFlags.DigitalSignature | KeyUsageFlags.KeyEncipherment) .ExtendedKeyUsage(ExtKeyUsage.ServerAuth) .SubjectKeyIdentifier(csr.PublicKey) .AuthorityKeyIdentifier(intermediateCaCert) .CrlDistributionPoint("http://crl.example.com/intermediate.crl") .Build() ); serverCert.ToPemFile("server.crt.pem");
→ Vollständiges Beispiel: Szenario 3.1
Verwandte Kategorien
| Kategorie | Beziehung |
|---|---|
| 2. CSR | CSR als Eingabe |
| 4. Zertifikate verwalten | Ausgestellte Zertifikate verwalten |
| 10. TLS/mTLS | Server-Zertifikate deployen |
« ← 2. CSR | ↑ Szenarien | 4. Zertifikate verwalten → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: den 29.01.2026 um 15:13
