Wibu-Systems

Der Tresor für Zertifikate


Fortsetzung des Artikels von Teil 2

Zertifikate sicher handhaben

Ein Blick  in den Quellcode zeigt das  Zusammenspiel von OpenSSL  und CodeMeter Certificate Vault Engine.
Ein Blick in den Quellcode zeigt das Zusammenspiel von OpenSSL und CodeMeter Certificate Vault Engine.
© Wibu-Systems

Auf den ersten Blick erscheint dieses Vorgehen im Gegensatz zum Zertifikats-management zu stehen. Werden jedoch die Schlüssel und Zertifikate in einer zentralen, gesicherten Umgebung erzeugt, so werden diese über das ‚CodeMeter Certificate Vault Admin Tool‘ oder über ‚CodeMeter License Central‘ in eine verschlüsselte und nur von einem dedizierten CmDongle zu öffnende Update-Datei (WibuCmRaU) verpackt. Diese Datei überträgt Schlüssel und Zertifikat sicher in den CmDongle. Der Prozess zum Update der Dongles erfolgt wie beim Signieren von Zertifikaten mehrstufig mit einer Requestdatei (CmRaC) und einer Antwortdatei (CmRaU).

An dieser Stelle ähnelt das Vorgehen dem Zertifikatsrequestprozess, nur dass das Zertifikat mit seinem Schlüsselpaar als Payload innerhalb dieses CodeMeter-Prozesses gekapselt ist. Der Prozess wird auf diese Weise erheblich vereinfacht. Außerdem bietet CodeMeter eine interne, gegen Manipulation gesicherte Zeit, sodass die sicheren CodeMeter-Funktionen für die Nutzung von zeitbasierten Zertifikaten genutzt werden können.
Sobald das Laden in den CmDongle beendet ist, können die Zertifikate von den oben beschriebenen Standardschnittstellen genutzt werden. Die Erneuerung und das Löschen der Zertifikate erfolgt auf dem gleichen Weg – auf Wunsch auch ohne Aktion durch den Anwender. 

CodeMeter Certificate Vault am Beispiel OpenSSL

Marco Blume ist Produktmanager Embedded bei Wibu-Systems in Karlsruhe.
Marco Blume ist Produktmanager Embedded bei Wibu-Systems in Karlsruhe.
© Wibu-Systems

‚CodeMeter Certificate Vault‘ bietet, wie bereits erwähnt, neben dem CodeMeter-API weitere Standardschnittstellen wie PKCS#11, KSP und OpenSSL an, damit die Lösung in bestehende Anwendungen oder gemäß Kundenanforderungen integriert werden kann. Im oberen Bild wird dazu das Zusammenspiel von OpenSSL und CodeMeter Certificate Vault veranschaulicht. Im ersten Schritt wird ein CA-Root-Zertifikat erstellt, das anschließend einschließlich privatem Schlüssel sicher im SmartCard-Chip eines CmDongles gespeichert wird. Im nächsten Schritt wird mit Hilfe dieses Root-Zertifikats, das nun im CmDongle sicher hinterlegt ist, via OpenSSL und der ‚CodeMeter Certificate Vault Engine‘ ein 30 Tage gültiges, dateibasiertes Zertifikat erstellt. In dieser Kombination nutzt OpenSSL nun den privaten Schlüssel und das zugehörige Zertifikat direkt aus dem CmDongle. 

Public-Key-Zertifikate sind wichtig bei der Identifizierung von Instanzen und beweisen die Echtheit und Unverfälschtheit von Daten. Mit Hilfe der öffentlichen Schlüssel dieser Zertifikate und den entsprechenden privaten Schlüsseln können sichere Kommunikationskanäle aufgebaut werden. Das hohe Sicherheitsniveau entsteht dadurch, dass die privaten Schlüssel nicht auslesbar in einem Secure Element wie einem CmDongle gespeichert sind. Mit CodeMeter License Central und CodeMeter Certificate Vault stehen Werkzeuge zur zentralen Ver­waltung und Verteilung von Zertifikaten und privaten Schlüsseln zur Verfügung. Damit eignet sich das Verfahren für ­remote-gesteuerte Geräte im industriellen Umfeld, IoT Devices oder ganz einfach für die E-Mail-Verschlüsselung oder für VPN-Zertifikate im Unternehmens­umfeld.


  1. Der Tresor für Zertifikate
  2. Die Technik im Detail
  3. Zertifikate sicher handhaben

Das könnte Sie auch interessieren

Verwandte Artikel

WIBU-SYSTEMS AG

Safety & Security