Zertifizierungsstellenzertifikate sind Zertifikate, die von einer Zertifizierungsstelle (Certification Authority, CA) für sich selbst oder eine zweite Zertifizierungsstelle ausgestellt werden, um eine definierte Beziehung zwischen den beiden Zertifizierungsstellen herzustellen.
Ein Zertifikat, das von einer Zertifizierungsstelle für sich selbst ausgestellt wurde, wird als vertrauenswürdiges Stammzertifikat bezeichnet, da es einen Punkt des "äußersten Vertrauens" für eine Zertifizierungsstellenhierarchie darstellen soll.
Sobald der vertrauenswürdige Stamm eingerichtet wurde, kann dieser verwendet werden, um untergeordnete Zertifizierungsstellen für das Ausstellen von Zertifikaten in seinem Namen zu autorisieren.
Mit Zertifizierungsstellenzertifikaten können auch Vertrauensstellungen zwischen Zertifizierungsstellen in zwei unterschiedlichen Public Key-Infrastrukturhierarchien (Public Key Infrastructure, PKI) hergestellt werden.
In allen diesen Fällen ist das Zertifizierungsstellenzertifikat wichtig zum Definieren des Zertifikatpfads und der Nutzungseinschränkungen für alle Endentitätszertifikate, die für die Verwendung in der PKI ausgestellt werden.
Die auf die Anforderungen einer Organisation ausgerichtete Konfiguration von Zertifizierungsstellenzertifikaten ist eines der wirkungsvollsten Instrumente, über die eine Organisation zur Implementierung einer angemessenen PKI-Sicherheit verfügt. Zertifizierungsstellenzertifikate enthalten bestimmte Konfigurationsdaten zur Regulierung der Zertifizierungsstellen, für die sie ausgestellt wurden. Mit diesen Konfigurationsoptionen ist Folgendes möglich:
-
Bestimmen des Organisations-Namespaces, in dem von der untergeordneten Zertifizierungsstelle ausgestellte Zertifikate ausgestellt werden können und denen vertraut werden kann
-
Festlegen der zulässigen Verwendung von Zertifikaten, die von der untergeordneten Zertifizierungsstelle ausgestellt werden
-
Definieren der Ausstellungsrichtlinien, die befolgt werden müssen, damit ein Zertifikat, das von der untergeordneten Zertifizierungsstelle ausgestellt wird, als gültig angesehen wird
-
Erstellen einer verwalteten Vertrauensstellung zwischen separaten Zertifizierungshierarchien