Hauptinhalt

Topinformationen

Überprüfung eines Zertifikats

Alle Zertifikate lassen sich auf Gültigkeit und Echtheit prüfen. Im folgenden Beispiel wird das Zertifikat des Rechenzentrum-Webservers überprüft.

Überprüfung des Gültigkeitzeitraums
Überprüfung des Zertifizierungspfades
Überprüfung auf Widerruf (ungültige Zertifikate)

Zur Überprüfung wird die Homepage des Rechenzentrums (https://www.rz.uni-osnabrueck.de) aufgerufen. Das Beispiel zeigt die URL im Browser Chrome an.

Sichere Verbindungen sind üblicherweise mit einem Schlosssymbol gekennzeichnet, das die gespeicherten Daten eines Zertifikates enthält. Sie können über den Kontextmenüpunkt Zertifikat eingesehen werden.

Überprüfung des Gültigkeitzeitraums

Es erscheint das Dialogfenster Zertifikat. Auf der Karteikarte Allgemein ist der Gültigkeitszeitraum des Webserver-Zertifikates (hier: Gültig ab 12.06.2019 bis 13.09.2021) angegeben.

Überprüfung des Zertifizierungspfades

Auf der Registerleiste Zertifizierungspfad lässt sich die Zertifizierungshierarchie der beteiligten Zertifizierungsinstanzen nachvollziehen.

Überprüfung auf Widerruf (ungültige Zertifikate)

Zertifizierungsstellen müssen in regelmäßigen Abständen Listen mit zurückgerufenen Zertifikaten (Certification Revocation Lists) veröffentlichen. Die DFN-PKI aktualisiert diese Liste monatlich. Jedes Zertifikat hat eine Seriennummer. Taucht diese Seriennummer in der Liste der gesperrten Zertifikate auf, so ist es ungültig.

Im Folgenden wird erklärt, wo sich die Seriennummer befindet. Anschließend wird in der Liste der gesperrten Zertifikate nachgesehen, ob die Seriennummer dort auftaucht.

Auf der Karteikarte Details des Zertifikat-Dialoges kann die Seriennummer (hier: 21 20 38 5e e2 2a 23 51 e4 17 09 9f ) des Webserver-Zertifikats abgelesen werden.

Die Liste der zurückgerufenen Zertifikate des Rechenzentrums kann unter dem Link Zertifikatswiderrufsliste der UNIOS-CA G2 abgerufen werden. Diese muss heruntergeladen bzw. gespeichert werden.
Öffnet man diese Datei (hier: c:\tmp\cacrl.crl) wird das Dialogfenster Zertifikatssperrliste angezeigt. Nach Auswahl der Karteikarte Sperrliste werden die Seriennummern der für ungültig erklärten Zertifikate angezeigt. Die Seriennummer des Webserver-Zertifikates (hier: 21 20 38 5e e2 2a 23 51 e4 17 09 9f) befindet sich nicht auf der Liste. Es handelt somit um ein gültiges Zertifikat.