Beziehung zwischen Zertifikat importieren und exportieren

[berlindocs]

In DSM4.2 gibt es die beiden genannten Funktionen. Ein Export erzeugt die vier Dateien ca.crt, ca.key, server.crt, server.key. Beim Import werden drei Dateien Privater Schlüssel, Zertifikat und Zwischenzertifikat angefordert. Wie erklärt sich die Differenz in der Zahl der Dateien und welche Datei hat welche Bedeutung?

 

[lavenetz]

Ja, das ist mir auch aufgefallen. Leider weiss ich es nicht genau, aber ich vermute, dass bei einem selbstsignierten Server-Zertifikat irgendeine (selbsternannte) CA die Signierung vornehmen muss. Dazu braucht es wohl den Private Key (ca.crt) zum Signieren und den öffentlichen Schlüssel, der weitergegeben werden kann, um das Server Zertifikat bei einer SSL-Verbindung zu verifizieren. Wenn ein regulärer Provider wie StartCom das Ganze macht (also signiert), braucht man ein Zwischenzertifikat wie z.B. sub.class1.server.ca.pem, da die Provider das Root CA-Zertifikat hüten wie den Augapfel. Ein wegen Kompromittierung ungültiges (Revocation) CA-Zertifikat wäre eine Katastrophe für diesen Provider. Das eine Erklärung? Aber sicher bin ich mir nicht 100%.