Exporteren (0) Afdrukken
Alles uitvouwen

Certificaten - overzicht

Certificaten - overzicht

Certificaten

Een openbare-sleutelcertificaat wordt meestal kortweg certificaat genoemd. Dit is een digitaal ondertekende verklaring waardoor de waarde van een openbare sleutel wordt gekoppeld aan de identiteit van de persoon, het apparaat of de service met de bijbehorende persoonlijke sleutel. Veel gangbare certificaten zijn gebaseerd op de certificaatstandaard X.509v3. Zie voor meer informatie over openbare-sleutelcryptografie, Certificaten - Bronnen voor meer informatie over sleutels en certificaten.

Certificaten kunnen voor diverse doeleinden worden uitgegeven, bijvoorbeeld voor verificatie van webgebruikers, verificatie van webservers, beveiligde e-mail (S/MIME (Secure/Multipurpose Internet Mail Extensions)), IP-beveiliging (IPSec, Internet Protocol Security), TLS (Transport Layer Security) en handtekeningen bij programmacode. Een certificeringsinstantie (CA) geeft ook certificaten uit aan andere certificeringsinstanties. Zo ontstaat er een certificeringshiërarchie.

De entiteit die het certificaat ontvangt, is de houder van het certificaat. De certificeringsinstantie is de uitgever en ondertekenaar van het certificaat.

Certificaten bevatten gewoonlijk de volgende gegevens:

  • De waarde van de openbare sleutel van de certificaathouder
  • De identificatiegegevens van de certificaathouder, zoals de naam en het e-mailadres
  • De geldigheidsduur (de periode dat het certificaat geldig is)
  • De identificatiegegevens van de uitgever
  • De digitale handtekening van de uitgever. Deze handtekening bekrachtigt de geldigheid van de binding tussen de openbare sleutel en de identificatiegegevens van de certificaathouder.

De geldigheid van een certificaat is beperkt tot de tijdsperiode die in het certificaat wordt vermeld. Elk certificaat bevat de datums Geldig van en Geldig tot. Deze datums staan voor het begin en het einde van de geldigheidsperiode. Wanneer de geldigheidsperiode van een certificaat is verstreken, moet de houder van het op dat moment verlopen certificaat een nieuw certificaat aanvragen.

In bepaalde gevallen kan het nodig zijn om de binding die in een certificaat wordt bekrachtigd, ongedaan te maken. Het certificaat wordt dan ingetrokken door de uitgever. Elke uitgever houdt een certificaatintrekkingslijst bij. Aan de hand van deze lijst kan de geldigheid van een certificaat worden gecontroleerd.

Een van de belangrijkste voordelen van certificaten is dat op hosts niet langer een verzameling wachtwoorden hoeft te worden bijgehouden voor afzonderlijke houders die verificatie vereisen voordat hun toegang kan worden uitgegeven. In plaats daarvan hoeft op de host alleen maar een vertrouwensrelatie te worden ingesteld met een uitgever van certificaten.

Wanneer op een host, zoals een beveiligde webserver, een uitgever wordt aangewezen als vertrouwde basisinstantie, wordt impliciet vertrouwen gesteld in de beleidsregels op basis waarvan de uitgever de bindingen heeft ingesteld in de uitgegeven certificaten. Dit betekent dat erop wordt vertrouwd dat de uitgever de identiteit van de houder van het certificaat heeft gecontroleerd. Wanneer een certificaatuitgever door een host-computer als vertrouwde basisinstantie wordt ingesteld, wordt het zelfondertekende certificaat van de uitgever, dat de openbare sleutel van de uitgever bevat, in het certificaatarchief met vertrouwde basiscertificeringsinstanties van de host geplaatst. Tussenliggende of onderliggende certificeringsinstanties worden alleen vertrouwd als deze een geldig certificaatpad hebben van een vertrouwde basiscertificeringsinstantie.

Zie Wat zijn certificaten? voor meer informatie over certificaten.

Het gebruik van certificaten

Certificaten worden meestal gebruikt om identiteitsgegevens vast te leggen en om vertrouwensrelaties op te bouwen voor een veilige uitwisseling van informatie. Certificeringsinstanties (CA's) kunnen certificaten uitgeven aan mensen, aan apparaten (zoals computers) en aan services die op computers worden uitgevoerd (zoals IPSec).

In sommige gevallen moeten computers bij het uitwisselen van informatie een groot vertrouwen hebben in de identiteit van de andere computer, service of persoon die bij de transactie betrokken is. In sommige gevallen moeten mensen bij het uitwisselen van informatie een groot vertrouwen hebben in de identiteit van de andere persoon, computer of service die bij de transactie betrokken is. Toepassingen en services die op een computer worden uitgevoerd, controleren ook regelmatig of de te benaderen informatie uit een vertrouwde bron afkomstig is.

Als twee entiteiten (zoals apparaten, personen, toepassingen of services) een vertrouwensrelatie proberen op te bouwen, wordt de relatie toegestaan wanneer beide entiteiten dezelfde certificeringsinstantie vertrouwen. Zodra een certificaathouder een certificaat presenteert dat door een vertrouwde CA is uitgegeven, kan de entiteit die een vertrouwensrelatie probeert in te stellen, verdergaan met het uitwisselen van informatie. Het certificaat van de certificaathouder wordt dan in het certificaatarchief van deze entiteit opgeslagen. Zo mogelijk wordt de openbare sleutel in het certificaat gebruikt om een sessiesleutel te coderen. Alle volgende verbindingen met de certificaathouder zijn dan beveiligd.

Als u bijvoorbeeld on line bankiert via het Internet, moet u verzekerd zijn van een rechtstreekse en veilige communicatie tussen uw webbrowser en de webserver van de bank. Een veilige transactie is alleen mogelijk als uw webbrowser de webserver eerst verifieert. Dit houdt in dat uw webbrowser de identiteit van de webserver moet controleren voordat de transactie wordt uitgevoerd. In Microsoft® Internet Explorer (en in de meeste andere recente webbrowsers en webservers) wordt SSL (Secure Sockets Layer) gebruikt om berichten te coderen en om deze veilig te verzenden via het Internet.

Als u met een SSL-browser verbinding maakt met een webserver voor on line bankieren, waaraan bijvoorbeeld door Verisign een servercertificaat is uitgegeven, gebeurt het volgende:

  • U maakt met uw webbrowser verbinding met de beveiligde aanmeldingspagina voor on line bankieren van de bank. Als u werkt met Internet Explorer, wordt er in de rechterbenedenhoek van de statusbalk een vergrendeld hangslot weergegeven. Hieraan kunt u zien dat de browser verbinding heeft met een beveiligde website. In andere browsers worden beveiligde verbindingen op een andere manier aangeduid.
  • De webserver van de bank verzendt automatisch een servercertificaat naar uw webbrowser.
  • De webbrowser controleert het certificaatarchief op uw computer om de webserver te verifiëren. Als de certificeringsinstantie die het certificaat aan de bank heeft uitgegeven, wordt vertrouwd, kan de transactie worden voortgezet. Het bankcertificaat wordt dan in uw certificaatarchief opgeslagen.
  • Uw webbrowser maakt een unieke sessiesleutel om alle transacties met de webserver van de bank te coderen. Uw webbrowser codeert de sessiesleutel met het webservercertificaat van de bank. Hierdoor kan alleen de webserver van de bank berichten lezen die door uw browser zijn verzonden. (Sommige berichten bevatten uw aanmeldingsnaam, uw wachtwoord en andere vertrouwelijke informatie, en vereisen daarom een hoog beveiligingsniveau.)
  • Er is een beveiligde sessie ingesteld. Uw webbrowser en de webserver van de bank kunnen nu vertrouwelijke informatie naar elkaar verzenden.

Zie Beveiliging met certificaten voor meer informatie.

U kunt certificaten ook gebruiken om de echtheid te controleren van softwarecode die u wilt downloaden vanaf het Internet, wilt installeren vanaf een bedrijfsintranet of wilt aanschaffen op cd-rom. Niet-ondertekende software (programma's die niet zijn voorzien van een geldig certificaat van een software-uitgever) vormt een risico voor uw computer en voor alle informatie die hierop is opgeslagen.

Als bepaalde software is ondertekend met een geldig certificaat van een vertrouwde certificeringsinstantie, weet u dat er niet is geknoeid met de softwarecode. U kunt de software dan zonder risico op uw computer installeren. Tijdens het installeren van software wordt er gevraagd of u de softwarefabrikant (bijvoorbeeld Microsoft Corporation) vertrouwt. In sommige gevallen kunt u ook aangeven dat de inhoud van een bepaalde softwarefabrikant altijd kan worden vertrouwd. Als u opgeeft dat de inhoud van een bepaalde fabrikant altijd kan worden vertrouwd, wordt het certificaat van deze fabrikant in uw certificaatarchief opgeslagen. Als u dan weer een product van deze fabrikant installeert, bestaat er al een vooraf gedefinieerde vertrouwensrelatie. Als er een voorgedefinieerde vertrouwensrelatie bestaat met een bepaalde fabrikant, kunt u alle software van deze fabrikant installeren zonder dat er naar vertrouwen wordt gevraagd. In het certificaat op uw computer staat immers dat u deze softwarefabrikant vertrouwt.

Certificaten waarmee de echtheid van software en de identiteit van software-uitgevers wordt gecontroleerd, kunnen (net als andere certificaten) ook voor andere doeleinden worden gebruikt. Als de certificaten bijvoorbeeld op doeleinde zijn gerangschikt in de module Certificaten, bevat de map Handtekening bij programmacode mogelijk een certificaat dat door de basiscertificeringsinstantie van Microsoft is uitgegeven aan Microsoft Windows Hardware Compatibility. Dit certificaat heeft drie doeleinden:

  • Het bewijst dat de software afkomstig is van de software-uitgever.
  • Het voorkomt dat de software na de uitgifte wordt gewijzigd.
  • Het controleert Windows-apparaatstuurprogramma's.

Het gebruik van certificaten in organisaties

Veel organisaties installeren eigen certificeringsinstanties en geven certificaten uit aan interne apparaten, services en werknemers. Hierdoor ontstaat een veiligere computeromgeving. Grote organisaties hebben vaak meerdere certificeringsinstanties, die samen een hiërarchie vormen. De basiscertificeringsinstantie bevindt zich op het hoogste niveau van deze hiërarchie. Werknemers van een organisatie hebben soms een heleboel certificaten in hun certificaatarchief. Deze certificaten zijn uitgegeven door diverse interne certificeringsinstanties die een vertrouwensband delen via het certificeringspad naar de basiscertificeringsinstantie.

Wanneer een medewerker zich van thuis via een VPN (Virtueel Particulier Netwerk) bij het netwerk van een organisatie aanmeldt, kan de VPN-server een servercertificaat aanbieden om zich te identificeren. De basiscertificeringsinstantie van het bedrijf wordt uiteraard vertrouwd. Aangezien deze instantie het certificaat aan de VPN-server heeft uitgegeven, kan de clientcomputer de verbinding voortzetten en weet de werknemer dat zijn computer daadwerkelijk is verbonden met de VPN-server van het bedrijf.

Er kunnen pas gegevens worden uitgewisseld via de VPN-verbinding als de VPN-client door de VPN-server is geverifieerd. Er wordt verificatie uitgevoerd op computerniveau of op gebruikersniveau. Bij verificatie op computerniveau worden computercertificaten uitgewisseld, en bij verificatie op gebruikersniveau wordt een PPP (Point-to-Point Protocol)-verificatiemethode toegepast. Voor L2TP (Layer 2 Tunneling Protocol)/IPSec-verbindingen zijn er zowel voor de client als voor de server computercertificaten vereist.

Zie Verificatie van VPN-clients, Computercertificaten voor VPN-verbindingen op basis van L2TP/IPSec en Ontwerpoverwegingen ten aanzien van RAS-VPN's voor meer informatie.

Het certificaat van de clientcomputer kan voor verschillende doeleinden worden gebruikt. Het basisdoel is echter verificatie. Hierdoor kan de client vele bronnen van de organisatie gebruiken zonder dat er voor elke bron een afzonderlijk certificaat is vereist. Het is bijvoorbeeld mogelijk dat u met het clientcertificaat niet alleen VPN-verbindingen kunt maken, maar ook toegang krijgt tot de intranetsite van de bedrijfswinkel, tot productservers en tot de human resources-database waarin gegevens van werknemers zijn opgeslagen.

Het certificaat van de VPN-server kan ook voor verschillende doeleinden worden gebruikt. Zo kan met één certificaat de identiteit van e-mailservers, webservers of toepassingsservers worden gecontroleerd. Het aantal doeleinden van een certificaat wordt bepaald door de certificeringsinstantie die het certificaat heeft uitgegeven.

Certificaten die worden uitgegeven aan personen

U kunt een certificaat aanschaffen bij een commerciële certificeringsinstantie, zoals Verisign. Zo kunt u persoonlijke e-mailberichten verzenden die (ter beveiliging) zijn gecodeerd of die (als bewijs van echtheid) digitaal zijn ondertekend.

Als u een e-mailbericht digitaal ondertekent met een certificaat, kan de ontvanger zien dat het bericht niet is gewijzigd tijdens de overdracht. De ontvanger kan ook zien dat het bericht van u afkomstig is (mits de ontvanger de certificeringsinstantie vertrouwt die het certificaat heeft uitgegeven).

Wanneer u een e-mailbericht codeert, kan niemand dit bericht lezen tijdens de overdracht. Alleen de ontvanger kan het bericht decoderen en lezen.

Certificaten en toepassingen

Met de meeste e-mailclients kunt u alle e-mailberichten automatisch laten ondertekenen of coderen. Het is echter ook mogelijk om afzonderlijke berichten te ondertekenen. Microsoft-toepassingen die digitale ondertekening of codering van e-mailberichten ondersteunen, zijn Microsoft Outlook® 2000, Microsoft Outlook Express en Microsoft Outlook 98.

Veel Windows-toepassingen ondersteunen het gebruik van certificaten. Hieronder vindt u koppelingen en informatie met betrekking tot het gebruik van certificaten in Microsoft IIS (Internet Information Services), Microsoft Outlook 2003, Microsoft Outlook Express en Microsoft Internet Explorer.

Informatie over certificaten van IIS (Internet Information Services)

Het IIS-certificaatarchief is geïntegreerd met het CryptoAPI-archief. De module Certificaten biedt beheerders een centraal punt voor het archiveren, maken van reservekopieën en configureren van servercertificaten.

IIS bevat drie wizards voor beveiliging, waarmee de meeste taken die vereist zijn voor een veilige website makkelijker kunnen worden uitgevoerd. Met de wizard Webservercertificaat kunt u SSL-voorzieningen (Secure Sockets Layer) in IIS- en servercertificaten beheren. Certificaten worden gebruikt bij het verkrijgen van een beveiligde verbinding tussen uw server en de browser van een gebruiker. Met de wizard Certificaatvertrouwenslijst kunt u certificaatvertrouwenslijsten (CTL's) beheren. Deze lijsten bevatten vertrouwde certificeringsinstanties voor elke website of virtuele map. Met de wizard Machtigingen kunt u Internet- en NTFS-toegangsmachtigingen toewijzen aan websites, virtuele mappen en bestanden op uw server.

Bezoek de website van Microsoft voor meer informatie over het gebruik van certificaten in IIS.

Informatie over certificaten van Outlook 2003

Informatie over certificaten van Internet Explorer

De volgende artikelen in de Microsoft Knowledge Base bevatten ook informatie over certificaten:

Opmerking

Certificaten importeren en exporteren

Als u bepaalde certificaten wilt gebruiken op andere computers, kunt u deze certificaten exporteren. De certificaten kunnen dan op andere computers worden geïmporteerd. Zie voor meer informatie Certificaten importeren en exporteren en Certificaten importeren en exporteren.

Het certificaatarchief

De certificaten in de certificaatarchieven op uw computer kunnen afkomstig zijn uit de volgende vier basisbronnen:

  • Het certificaat is geïnstalleerd tijdens de installatie van Windows Server 2003 en bevindt zich op de cd-rom van Windows Server 2003.
  • U gebruikt een toepassing (zoals een Internet-browser) om deel te nemen aan een SSL-sessie. Nadat er een vertrouwensrelatie is ingesteld, worden er certificaten op uw computer opgeslagen.
  • U kiest er expliciet voor om een certificaat te accepteren. Dit gebeurt bijvoorbeeld als u software installeert of als u een gecodeerd of digitaal ondertekend e-mailbericht ontvangt.
  • U vraagt een certificaat aan bij een certificeringsinstantie. Zo kunt u bijvoorbeeld een certificaat aanvragen dat u nodig hebt om bepaalde bronnen van de organisatie te benaderen.

Het certificaatarchief op uw computer wordt in de loop der tijd steeds groter. Dit komt door Internet-gebruik en door verbindingen met servers die werken met certificaten. Sommige certificaten hebben slechts één doeleinde, zoals server- of clientverificatie. Er zijn echter ook certificaten die voor meerdere doeleinden bestemd zijn. De certificeringsinstantie die een bepaald certificaat uitgeeft, bepaalt voor welk doeleinde (of voor welke doeleinden) dit certificaat mag worden gebruikt.

Certificaten worden door Internet Explorer en door Windows in dezelfde certificaatarchieven opgeslagen. U kunt in beide toepassingen echter wel verschillende weergaven selecteren voor de certificaatarchieven. Zie Weergaveopties instellen voor de module Certificaten in het Help-bestand van Certificaten voor meer informatie. Zie Certificaatarchieven voor meer informatie over de weergave van certificaatarchieven in de module Certificaten.

In de module Certificaten kunt u de certificaten op logisch archief of op doeleinde laten weergeven. Als u de certificaten op doeleinde laat weergeven, wordt een certificaat met meerdere doeleinden in meerdere mappen weergegeven. Het certificaat wordt dan in alle mappen weergegeven waarin een van de doeleinden wordt gedefinieerd.

De module Certificaten

Met de module Certificaten kunt u certificaten voor gebruikers, computers en services beheren.

Gebruikers en beheerders kunnen met de module Certificaten nieuwe certificaten aanvragen bij Windows 2000- en ondernemingscertificeringsinstanties. Verder kunnen gebruikers certificaten in certificaatarchieven zoeken, weergeven, importeren en exporteren. In de meeste gevallen hoeven gebruikers echter niet eigenhandig hun certificaten en certificaatarchieven te beheren. Dat kan worden geregeld door beheerders, beleidsinstellingen en toepassingen die certificaten gebruiken.

Beheerders zijn de primaire gebruikers van de module Certificaten. Zij kunnen vele beheertaken uitvoeren in hun persoonlijke certificaatarchief en in de certificaatarchieven van computers en services waarvoor zij beheerdersrechten hebben.

Zie Certificaten aanvragen voor meer informatie.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft