Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Public Key Infrastructure

Public Key Infrastructure (PKI) ist das technologische und organisatorische Fundament zur Verwaltung digitaler Zertifikate und kryptografischer Schlüssel. Sie ermöglicht die asymmetrische Verschlüsselung, die in vielen sicherheitsrelevanten Anwendungen eingesetzt wird – etwa bei HTTPS, VPNs, S/MIME-E-Mail oder Smartcards.

PKI sorgt dafür, dass öffentliche Schlüssel zuverlässig mit einer Identität (z. B. Person, Server, Organisation) verknüpft sind – durch sogenannte digitale Zertifikate.

Bestandteile der PKI

  • Certificate Authority (CA)
    Vertrauenswürdige Ausgabestelle für digitale Zertifikate. Sie signiert die Zertifikate kryptografisch.

  • Registration Authority (RA)
    Führt Identitätsprüfungen durch, bevor ein Zertifikat ausgestellt wird. Arbeitet der CA zu.

  • Verzeichnisse (z. B. LDAP)
    Öffentliche Ablageorte für Zertifikate, die von Clients automatisiert abgerufen werden.

  • CRLs / OCSP (Online Certificate Status Protocol)
    Mechanismen zur Zertifikatsrücknahme (Revocation), wenn ein Schlüssel kompromittiert oder veraltet ist.

Typische Einsatzszenarien

  • TLS/SSL-Zertifikate für verschlüsselte Webseiten (HTTPS)

  • E-Mail-Verschlüsselung mit S/MIME

  • Authentifizierung für VPN-Clients

  • Code Signing für vertrauenswürdige Softwareverteilung

  • Smartcards und Hardware-Tokens zur Zwei-Faktor-Authentifizierung

Sicherheitsanforderungen

  • Schlüsselverwaltung
    Private Schlüssel müssen sicher gespeichert werden – idealerweise in einem Hardware Security Module (HSM).

  • Zertifikats-Lebenszyklus
    Zertifikate sollten regelmäßig erneuert, widerrufen und geprüft werden. Automatisierungs-Tools wie Let’s Encrypt oder ACME-Protokolle helfen hierbei.

  • Vertrauenskette (Trust Chain)
    Zertifikate basieren auf einer Chain of Trust vom Root-Zertifikat über Zwischen-CAs bis zum End-Zertifikat.

Verwandte Begriffe

  • TLS / SSL

  • X.509

  • Certificate Authority

  • S/MIME

  • Hardware Security Module (HSM)

  • Schlüsselpaare (Public/Private Key)

  • OCSP

  • CRL

  • Code Signing

  • Zero Trust

Beispiel aus der Praxis

Ein international tätiges Unternehmen betreibt ein internes PKI-System, um alle VPN-Zugänge, E-Mail-Kommunikation und Admin-Zugriffe per Client-Zertifikat abzusichern. Die Root-CA liegt offline, die Intermediate-CAs werden regelmäßig rotiert. Private Schlüssel sind in HSMs gespeichert. Durch OCSP-Stapling wird die Gültigkeit von Zertifikaten bei jeder Verbindung effizient überprüft. Der gesamte Lebenszyklus – von Zertifikatsbeantragung über Genehmigung, Ausstellung und Widerruf – ist durch automatisierte Workflows und Policies abgesichert.

zum Glossar