CPM

Was ist das Certificate Management Protocol (CMP)?

Wer geschäftskritische Daten schützen möchte, setzt auf eine moderne Public Key Infrastruktur (PKI) statt auf althergebrachte Passwörter. Eine PKI wiederum braucht ein System, um digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Genau dafür hat die Internet Engineering Task Foce (IETF) das Certificate Management Protocol (CMP) entwickelt. Erfahren Sie hier, was das „Verwaltungsprotokoll für Zertifikate“ ist, wie es funktioniert und wo es in der Praxis zum Einsatz kommt.  

Definition: Was ist CMP?

Das Certificate Management Protocol (CMP) ist ein Internetprotokoll zur Verwaltung digitaler X.509-Zertifikate innerhalb einer PKI. CMP regelt die Kommunikation zwischen einzelnen Komponenten der PKI und ist für die Interaktion zwischen der Certification Authority (CA) oder Registrierungsstelle (RA) und Anwendungen oder Usern konzipiert. Erstere stellt die Zertifikate aus, zweitere fordern sie an, widerrufen oder nutzen sie. Dafür nutzt das CMP das Certificate Request Message Format (CRMF).  

Die Internet Engineering Task Force (IETF) hat das standardisierte Protokoll für Certificate Management bereits 1999 entwickelt und zunächst im Standard RFC 2510 beschrieben. Dieser wurde 2005 von RFC 4210 und der zweiten Version von CMP ersetzt. Derzeit arbeitet die IETF an einer dritten Version sowie einem leichtgewichtigen CMP-Profil für industrielle Anwendungen.  

Wie unterscheidet sich das Certificate Management Protocol von anderen Protokollen?

In den letzten Jahren kommen digitale Zertifikate immer häufiger zum Einsatz, um für sichere Verbindungen und mehr Vertrauen bei der Online-Kommunikation zu sorgen. Dementsprechend gibt es verschiedene Protokolle für teils sehr spezielle Zwecke. Das CMP Certificate Management Protocol ermöglicht einen CA-gesteuerten Austausch. CMP ist ein allgemeines Protokoll, das möglichst jeden Austausch eines Netzwerks mit einer Zertifizierungsstelle abdecken soll. 

Im Gegensatz dazu erfüllen die meisten anderen Protokolle spezifischere Aufgaben:  

  1. Enrollment over Secure Transport (EST) dient ausschließlich der Bereitstellung von Zertifikaten und kommt vor allem für digitale Geräte im industriellen Kontext zum Einsatz. Für zusätzliche Verwaltungsvorgänge verweist das Dokument auf die CMS-Standards.  
  2. SCEP (Simple Certificate Enrollment Protocol) ist ebenfalls ein spezialisiertes Protokoll mit einem kleineren Anwendungsbereich. Es konzentriert sich auf die Registrierung und den Erhalt von Zertifikatsperrlisten (CRL). Außerdem bestehen bei diesem Protokoll alle Nachrichten ausschließlich aus an die CA gesendete Anfragen oder Antworten der CA.  
  3. Transport Layer Security (TLS) oder Internet Protocol Security (IPsec) sorgen über Zertifikate für eine sichere Kommunikation zwischen Endpunkten. 

Wie funktioniert CMP?

Das Certificate Management Protocol definiert Protokollnachrichten für die Erstellung und Verwaltung von Zertifikaten. PKI-Produkte wie der Nexus Certificate Manager nutzen CMP für eine umfassende Reihe an Vorgängen für die Zertifikatsverwaltung online 

  • Initialisierung der Zertifizierungsstelle 
  • Initialisierung der Endteilnehmer 
  • Zertifizierung 
  • Ermittlung von Zertifikaten 
  • Wiederherstellung von Zertifikaten 
  • Widerruf von Zertifikaten 

Zu den Initialisierungsvorgängen von PKI-Entitäten gehören dabei viele einmalige Aktionen wie der Export und Import von CA-Root-Zertifikaten und die Erstellung einer ersten Certificate Revocation List (CRL). 

CMP unterscheidet zwischen drei Parteien, die an der PKI-Verwaltung beteiligt sind:  

  1. Endteilnehmer sind die Personen oder Einheiten, für die Zertifikate ausgestellt werden.  
  2. Zertifizierungsstelle (CA): Sie stellt die Zertifikate aus. CMP unterscheidet zwischen einer Root-CA, der eine Endinstanz direkt vertraut, und einer untergeordneten CA.  
  3. Registrierungsstelle: Die Registration Authority (RA) kann Funktionen von der CA übernehmen, beispielsweise persönliche Authentifizierung, Widerrufsmeldung, Token-Verteilung und Schlüsselerzeugung. Welche Funktionen von der RA bereitgestellt werden, wenn überhaupt, hängt vom Kontext ab. 

Damit Endteilnehmer ein Zertifikat über CMP erhalten, müssen sie sich zunächst initialisieren beziehungsweise anmelden. Dafür brauchen sie die entsprechenden PKI-Informationen und verifizieren einen öffentlichen Schlüssel der Stamm-CA.  

Anschließend kann der Endteilnehmer das Zertifikat per PKI-Message anfordern. Die PKI spezifiziert das angeforderte Zertifikat über die Datenstruktur CertReqMessages weiter. Danach antwortet die CA mit einer Nachricht. Diese enthält die Datenstruktur CertRepMessage mit relevanten Informationen sowie das mehrfach verpackte CMP Certificate. 

CMP und Sicherheit

Durch folgende Funktionen sorgt das Certificate Management Protocol für mehr Sicherheit in PKI-Systemen:  

  • Nachrichten sind in sich geschlossen und nutzen einen vom Übertragungsmechanismus unabhängigem Schutz. Im Gegensatz zu den verwandten Protokollen EST und SCEP unterstützt dies die Ende-zu-Ende-Sicherheit von CMP. 
  • Vollständige Unterstützung des Lebenszyklus von Zertifikaten: Eine Endeinheit kann CMP nutzen, um Zertifikate von einer CA zu erhalten, Aktualisierungen anzufordern und sie auch widerrufen zu lassen. 
  • Herkunftsnachweise in zwei Formaten: Auf der Grundlage eines gemeinsamen Geheimnisses bei der ersten Verwendung und über eine digitale Signatur mit Hilfe von bereits vorhandenen Zertifikaten. 
  • Wiederherstellung von privaten Schlüsseln: Verliert ein Endteilnehmer seinen privaten Schlüssel und ist dieser bei der CA gespeichert, lässt er sich über eine „Schlüsselpaarwiederherstellung“ erneut anfordern.  

Praktische Anwendungen von CMP

CMP bietet eine praktische Möglichkeit, die Überwachung und Verlängerung von vielen Zertifikaten zu automatisieren. Dadurch lässt sich die Qualität der mit den Zertifikaten verbundenen Prozesse steigern und der kostenintensive manuelle Aufwand reduzieren. Dementsprechend kommt das Certificate Management Protocol überall dort zum Einsatz, wo es um die Verwaltung von Zertifikaten geht. Das wiederum ist vornehmlich für den Betrieb einer PKI der Fall. Auch kryptografischen Bibliotheken wie cryptlib und die freie Software OpenSSL nutzen CMP.  

Geltende Vorschriften und Standards für CMP 

Drei auf Englisch verfasste Normen und Standards beschreiben die aktuellen Voraussetzungen und Abläufe des CMP:  

  1. RFC 4210 „Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP)”, 2005: Dieser Standard hat RFC 2510 aus dem Jahr 1999 ersetzt.  
  2. RFC 4211 „Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF)”, 2005: Nachrichten im CRMF-Format bilden die Basis für CMP und CMC.  
  3. RFC 6712 „Internet X.509 Public Key Infrastructure – HTTP Transfer for the Certificate Management Protocol (CMP)”, 2012. Bei diesem Standard handelt es sich um die aktuelle Erweiterung von RFC 4210.  

Best Practices für den Einsatz von CMP

Die meisten Unternehmen verwalten den Einsatz des Certificate Management Protocols nicht selbst. Vielmehr kommen Sie über die Nutzung einer Managed PKI-Lösung eines externen Anbieters wie Nexus mit dem CMP in Kontakt. In diesem Fall sollte der Anbieter alle notwendigen Best Practices für den Einsatz des CMP Certificate Management Protocols bereitstellen.  

Für den Fall, dass Sie CMP selbst für eine PKI implementieren wollen, erstellen Sie zunächst eine Betriebsrichtlinie für dessen Einsatz. Dort legen Sie relevante Parameter fest und weisen autorisiertem Personal verschiedene Aufgabenebenen zu. Im Anschluss können Sie festlegen, welche Prozesse sie einsetzen wollen und wie Sie diese ausrollen müssen. Dafür sollte ein einfacher One-Pager genügen.  

Achten Sie darauf, dass er Folgendes abdeckt: 

  • Wie Ihr Unternehmen digitale Zertifikate verwendet 
  • Die an der Zertifikatsverwaltung beteiligten Rollen 
  • Die genauen Berechtigungen, die jeder bestimmten Rolle gewährt werden 
  • Ihre primären Zertifizierungsstellen sowie CAs für Backups 

Zusammenfassung

Das CMP bietet eine sichere Verwaltung digitaler X.509-Zertifikate. Es hilft dabei, die Kommunikation innerhalb einer PKI sicherer zu gestalten und das Management von vielen Zertifikaten zu automatisieren. Das Certificate Managemet Protocol unterstützt den vollständigen Lebenszyklus von digitalen Zertifikaten und koordiniert die Kommunikation zwischen den dafür notwendigen Komponenten der PKI wie Endteilnehmer und Certification Authority (CA). Über in sich geschlossene Nachrichten sorgt CMP für mehr End-to-End-Sicherheit als andere Protokolle zur Zertifikatsverwaltung. 

Häufig gestellte Fragen (FAQ)

Was ist das CMP?  

Über das Certificate Management Protocol (CMP) lassen sich digitale X.509-Zertifikate innerhalb einer PKI verwalten. Das Internetprotokoll organisiert die Kommunikation zwischen verschiedenen Bestandteilen der PKI wie der Certification Authority (CA) oder Registrierungsstelle (RA) und Anwendungen oder Usern. 

Was ist ein digitales Zertifikat? 

Ein digitales Zertifikat dient als elektronischer Echtheitsnachweis und für die Verschlüsselung des Datenverkehrs im Internet. Es prüft beziehungsweise bestätigt mit Hilfe von mathematischen Verschlüsselungsverfahren die Identität einer Person oder eines Objektes und wird von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt.  

Wie erhöht das CMP die Sicherheit? 

Das Certificate Management Protocol erhöht die Sicherheit innerhalb einer PKI, indem es die Verwaltung von digitalen Zertifikaten automatisiert und für eine sichere Kommunikation sorgt. Dafür nutzt das Certificate Management Protocol in sich geschlossene Nachrichten für mehr End-to-End-Sicherheit, sichere Herkunftsnachweise und ermöglicht unter bestimmten Umständen die Wiederherstellung von privaten Schlüsseln.  

Was sind praktische Anwendungen, bei denen CMP häufig eingesetzt wird? 

Das Certificate Management Protocol (CMP) wurde speziell für die Anwendung innerhalb einer PKI und die Interaktion zwischen der Certification Authority (CA) und Anwendungen oder Usern konzipiert. Es automatisiert die Verwaltung digitaler Zertifikate.