Rechenzentrum


Navigation und Suche der Universität Osnabrück


Hauptinhalt

Topinformationen

Überprüfung eines Zertifikats

Alle Zertifikate lassen sich auf Gültigkeit und Echtheit prüfen. Im folgenden Beispiel wird das Zertifikat des Rechenzentrum-Webservers überprüft.

Zur Überprüfung wird zunächst die Homepage des Rechenzentrums über das sichere Übertragungsprotokoll "https" (https://www.rz.uni-osnabrueck.de) geöffnet. Das Beispiel nutzt den Internet Explorer 8.0.

Sichere Verbindungen sind üblicherweise mit einem Schlosssymbol gekennzeichnet, das die gespeicherten Daten eines Zertifikates enthält. Sie können über den Kontextmenüpunkt Zertifikate anzeigen eingesehen werden.

Überprüfung des Gültigkeitzeitraums

Es erscheint das Dialogfenster Zertifikat. Auf der Karteikarte Allgemein ist der Gültigkeitszeitraum des Webserver-Zertifikates (hier: Gültig ab 07.02.2012 bis 05.02.2017) angegeben.

Überprüfung des Zertifizierungspfades

Auf der Registerleiste Zertifizierungspfad lässt sich die Zertifizierungshierarchie der beteiligten Zertifizierungsinstanzen nachvollziehen.

Überprüfung auf Widerruf (ungültige Zertifikate)

Zertifizierungsstellen müssen in regelmäßigen Abständen Listen mit zurückgerufenen Zertifikaten (Certification Revocation Lists) veröffentlichen. Die DFN-PKI aktualisiert diese Liste monatlich. Jedes Zertifikat hat eine Seriennummer. Taucht diese Seriennummer in der Liste der gesperrten Zertifikate auf, so ist es ungültig.

Im Folgenden wird erklärt, wo sich die Seriennummer eines Zertifikates befindet. Anschließend wird in der Liste der gesperrten Zertifikate (CRL) nachgesehen, ob die Seriennummer dort auftaucht.

Manuelle Überprüfung

Auf der Karteikarte Details des Zertifikat-Dialoges kann die Seriennummer (hier: 18 e6 cf 1e 00 45 45) des Webserver-Zertifikats abgelesen werden.

Die Liste der zurückgerufenen Zertifikate des Rechenzentrums kann unter dem Link Zertifikatswiderrufsliste der UNIOS-CA G2 abgerufen werden.
Es erscheint das Fenster Dateidownload. Hier ist auf die Schaltfläche Öffnen zu klicken.

Nun öffnet sich das Dialogfenster Zertifikatssperrliste. Nach Auswahl der Karteikarte Sperrliste werden die Seriennummern der für ungültig erklärten Zertifikate angezeigt. Die Seriennummer des Webserver-Zertifikates (hier: 18 e6 cf 1e 00 45 45) befindet sich nicht auf der Liste. Es handelt somit um ein gültiges Zertifikat.

Automatische Überprüfung

Die Überprüfung, ob ein Zertifikat in der Sperrliste auftaucht, lässt sich abhängig vom verwendeten Betriebssystem und Browser automatisieren. Im folgenden Beispiel wird angenommen, dass die Prüfung auf einem Windows 7 Rechner mit dem Internet Explorer Version 8 stattfindet. Es müssen folgende Einstellungen im Browser getroffen werden:

Im Internet Explorer wird der Menüpunkt Extras -> Internetoptionen aufgerufen und dort die Karteikarte Erweitert selektiert. Hier ist im Fenster Einstellungen unter der Rubrik Sicherheit ein Häkchen vor Auf gesperrte Serverzertifikate überprüfen (Neustart erforderlich) zu setzen. Wird nun eine URL mit einer sicheren Verbindung (https) geöffnet, überprüft der Browser automatisch, ob das Zertifikat in der Sperrliste vorhanden ist. In diesem Fall erscheint ein Warnhinweis.