Ankündigung

Einklappen
Keine Ankündigung bisher.

Nur aus Neugierde: Inhalt der PKCS12 (.pfx) Datei (technisch!)

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    Nur aus Neugierde: Inhalt der PKCS12 (.pfx) Datei (technisch!)

    Moin!

    Ich habe mir mal aus Neugierde und weil ich immer daran interessiert bin zu verstehen, wie Dinge funktionieren, die Elster PKCS12 Datei genauer angesehen. Dabei sind mir ein paar seltsame Dinge aufgefallen:
    • Enthalten ist mein Leaf-Zertifikat (und zugehöriger private Key) mit der Seriennummer wie in dem Bericht im Elster-Posteingang zu lesen und der Key Usage "Digital Signature". Dazu die dazugehörige Intermediate (CN=ElsterIdNrSoftCA) und Root (CN=ElsterRootCA) CA. Soweit so gut.
    • Dann ist da noch ein weiters Leaf-Zertifikat (und zugehöriger private Key, erwartungsgemäß ein anderer als der erste), aber die Seriennummer um 1 inkrementiert mit Key Usage "Key Encypherment". Dazu nochmal die gleiche Intermediate und Root wie zuvor.
    • Beide Leaf Zertifikate haben als Subject eine "serialNumber" und ein CN.
      • Der Wert von "serialNumber" im Subject ist gleich dem CN plus ein Buchstabe ("A" beim "Digital Signature" Zertifkat und "C" beim anderen) und sieht auch ähnlich wie die Zertifikats-Seriennummern aus. Aber:
      • Der CN ist für beide gleich aber nicht identisch zu einer der beiden Zertifkats-Seriennummern. Die Zahl im CN ist wesentlich kleiner. Die älteren, abgelaufenen Zertifikate in meinen alten PKCS12 haben alle auch dieses identische Subject (handelt es sich um ein bzw den eindeutigen Identifikator für meine Person?), aber in keinem Fall ist die Nummer identisch zur Seriennummer des jeweiligen Zertifikates. Die Seriennummer meines ersten Zertifikates ist sogar kleiner als die Seriennummer im Subject

    Kann das jemand erklären?
    1. Warum braucht es zwei verschiedene Zertifikats-Key-Paare?
    2. Was hat es mit dem seltsamen Subject auf sich?
    3. Wozu dient die Root im pfx? Nutzt sie der Browser als Trust-Anchor um die Serverseite zu validieren?

    Viele Grüße
    Ein Nerd ;-)
    Zuletzt geändert von IchBinDerAlex; 30.05.2024, 14:04.
    Stichworte: openssl, pem, pkcs12, zertifikat, zertifikatsdatei
    #2
    Hier im Anwenderforum wirst du eher keine Antworten auf deine Fragen bekommen, Entwickler lesen hier nicht mit.
    Freundliche Grüße
    Charlie24

    Wichtig: Fast jeder Steuerpflichtige hat Vorsorgeaufwendungen (z.B. Beiträge zur Krankenversicherung) und muss deshalb seiner Einkommensteuererklärung die Anlage Vorsorgeaufwand hinzufügen und auch ausfüllen!
    Bitte bei Fragen zur Grundsteuer immer das Bundesland angeben !

    Kommentar

      #3
      Ich bin nur Zertifikats-Laie, aber das eine dient der Verschlüsselung und das andere der "rechtsgültigen Unterschrift", wenn man eine Erklärung übermittelt. Rein zufällig haben beide Zertifikate die gleiche PIN (was z.B. bei Signaturkarten nicht unbedingt der Fall sein muss).

      Und der CN ist meines Wissens die Nummer des ELSTER-Online-Kontos (und bleibt - ebenfalls meines Wissens - bei einer Zertifikatsverlängerung gleich).

      Und das Root-Cert sieht ein Browser ja nie, weil der Cert ja gar nicht im Browser verwendet wird (sondern nur zur gegenseitigen Prüfung von Client und Server bei der Übermittlung von Steuerfällen - da ist ja kein Browser beteiligt). Diese Prüfung ist oft auch die Ursache für das Scheitern einer Übermittlung, wenn ein Proxy dazwischengeschaltet ist (z.B. ein sogenannter "Virenscanner" oder andere sogenannte "Sicherheitssoftware"), der die TLS-Verbindung aufbricht und dem Client ein - zwar von handelsüblichen Browsern akzeptiertes, aber eben nicht von ELSTER signiertes - eigenes Zertifikat unterjubelt. Dann merkt der ELSTER-Client, dass die Root nicht ELSTER ist, und bricht die Verbindung ab.

      Alles ohne Gewähr, aber die ungefähre Richtung dürfte stimmen...
      • Likes 1

      Kommentar

        #4
        Zitat von mhanft Beitrag anzeigen
        Ich bin nur Zertifikats-Laie, aber ...
        Vielen Dank für die umfangreiche Rückmeldung! Stimmt, der CN ist identisch mit der Benutzerkonto-ID, hätte ich ja mal genauer schauen können...

        Wenn ich die Zeit finde werde ich mir mal zwei pkcs12 bauen mit jeweils nur einem der Zertifikate+Key (Intermediate und Root dürften wahrscheinlich auch nicht nötig sein) und schauen, ob ich mich mit einem davon auch an der Webseite anmelden kann.

        Noch eine kleine Korrektur zu den TLS Proxies: Die nutzen keine der CAs aus dem Browserforum - so eine CA wäre dann ganz schnell die längste Zeit im erlauchten Kreis der Browser-CAs gewesen. Stattdessen generieren solche "Sicherheits"tools ihre eigene CA bei der Einrichtung und installieren die CA im Truststore des Browsers bzw des Betriebssystems.

        Nochmal ganz herzlichen Dank für die Antwort, hat mir wirklich weitergeholfen!

        Liebe Grüße
        Alex
        Zuletzt geändert von IchBinDerAlex; 31.05.2024, 00:00.

        Kommentar

        Vorherige template Weiter
        Lädt...
        X