🔐 PKI - CA

Kleckerbox PKI – Certificate Authority

Vertrauenshierarchie, CA-Zertifikate zum Download und alles rund um die Kleckerbox Public Key Infrastructure.

3
CA-Ebenen
3
Chain-Tiefe
3
CAs gültig
2,824
Min. Tage verbleibend
SHA-512
Signaturalgorithmus
RSA
Schlüsseltyp
📖
Was ist eine Certificate Authority?
Grundlagen der Public Key Infrastructure (PKI)
Eine Certificate Authority (CA) ist eine vertrauenswürdige Instanz, die digitale Zertifikate nach dem X.509-Standard ausstellt und signiert. Durch die kryptografische Signatur der CA kann jeder Empfänger eines Zertifikats dessen Echtheit prüfen – vorausgesetzt, er vertraut der CA. Die Kleckerbox-PKI verwendet eine 3-Ebenen-Hierarchie: Root CA → Intermediate CA / Subordinate CA → End-Entity-Zertifikate.
01
Root CA – Vertrauensanker
Selbstsigniertes Zertifikat. Muss einmalig manuell im Betriebssystem oder Browser als vertrauenswürdig markiert werden. Offline aufbewahrt für maximale Sicherheit.
02
Intermediate / Sub CA
Von der Root CA signierte Zwischenzertifizierungsstellen. Sie stellen die eigentlichen Zertifikate aus. Kompromittierung betrifft nicht die Root CA.
03
Certificate Chain
Die Chain-Datei enthält das CA-Zertifikat plus alle übergeordneten CAs. Server und Clients können damit die vollständige Vertrauenskette aufbauen.
04
Widerruf via CRL / OCSP
Kompromittierte Zertifikate werden widerrufen. Die Kleckerbox-PKI veröffentlicht CRLs unter crl.kleckerbox.link und einen OCSP-Responder unter ocsp.kleckerbox.link:8080.
🌲
CA-Hierarchie & Zertifikate
Aktuelle Zertifikatsdaten, Status und Download
👑
Root CA
Kleckerbox / Root CA
✓ 7,215 Tage Self-Signed
Selbstsignierter Vertrauensanker. Muss manuell im Truststore installiert werden. Signiert nur Intermediate- und Subordinate-CAs.
Subject C=DE, ST=BW, L=Freiburg, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Root CA, emailAddress=webmaster@klexkerbox.link
Issuer C=DE, ST=BW, L=Freiburg, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Root CA, emailAddress=webmaster@klexkerbox.link
Serial 00
Algorithmus sha512WithRSAEncryption
Gültig ab Jan 13 11:33:46 2023 GMT
Gültig bis Jan 8 11:33:46 2046 GMT
Key Usage Digital Signature, Certificate Sign, CRL Sign
Constraints CA:TRUE
CRL-URL http://crl.kleckerbox.link/ca.crl.pem
SHA-256 A9:1C:FC:5F:66:D5:8F:26:01:39:A2:75:41:2B:EF:F3:27:63:B3:C3:15:62:FD:B9:D1:2D:45:77:07:01:3A:BD
Subject KI E5:1C:D4:29:B8:17:E8:F3:CD:BB:71:1C:3D:4B:F6:89:4A:05:F1:FD
PEM-Zertifikat anzeigen (1_ca_root.crt) 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
⬇ 1_ca_root.crt
🔗
Intermediate CA
Kleckerbox / Intermediate CA
✓ 2,824 Tage pathlen:0
Ausstellende CA für End-Entity-Zertifikate. Von der Root CA signiert (pathlen:0 – darf selbst keine weiteren CAs ausstellen).
Subject C=DE, ST=BW, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Intermediate CA, emailAddress=webmaster@kleckerbox.link
Issuer C=DE, ST=BW, L=Freiburg, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Root CA, emailAddress=webmaster@klexkerbox.link
Serial 1000
Algorithmus sha512WithRSAEncryption
Gültig ab Jan 13 11:33:46 2023 GMT
Gültig bis Dec 31 23:59:59 2033 GMT
Key Usage Digital Signature, Certificate Sign, CRL Sign
Constraints CA:TRUE, pathlen:0
CRL-URL http://crl.kleckerbox.link/ca.crl.pem
SHA-256 7E:8C:67:64:00:5D:7C:8D:17:2A:0E:47:B0:EB:8A:97:4C:C0:C3:DD:15:53:AF:A9:DA:FE:C5:74:F6:8C:4E:68
Subject KI 24:5F:8E:D7:1C:BA:D5:D4:E6:DD:AA:53:7A:DD:4D:13:C4:35:29:2F
Authority KI E5:1C:D4:29:B8:17:E8:F3:CD:BB:71:1C:3D:4B:F6:89:4A:05:F1:FD
PEM-Zertifikat anzeigen (2_ca_intermediate.crt) 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
⬇ 2_ca_intermediate.crt ⬇ Chain: 2_ca_intermediate_chain.crt
🏷
Subordinate CA
Kleckerbox / Subordinate CA
✓ 2,824 Tage pathlen:1
Zweite ausstellende CA. Von der Root CA signiert (pathlen:1). Kann für separate Zertifikatsbereiche (z.B. VPN, Mail) eingesetzt werden.
Subject C=DE, ST=BW, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Subordinate CA, emailAddress=webmaster@kleckerbox.link
Issuer C=DE, ST=BW, L=Freiburg, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Root CA, emailAddress=webmaster@klexkerbox.link
Serial 1001
Algorithmus sha512WithRSAEncryption
Gültig ab Jan 13 11:34:07 2023 GMT
Gültig bis Dec 31 23:59:59 2033 GMT
Key Usage Digital Signature, Certificate Sign, CRL Sign
Constraints CA:TRUE, pathlen:1
CRL-URL http://crl.kleckerbox.link/ca.crl.pem
SHA-256 30:A8:BD:BF:90:1A:B2:77:D7:67:4A:B7:9F:9B:4C:0C:F4:3D:93:B4:FC:CA:D0:20:98:E0:24:E7:3B:EC:D2:58
Subject KI 91:4E:CB:4D:0F:BE:44:0F:03:8F:81:0D:B4:54:8F:DF:1A:36:0B:B0
Authority KI E5:1C:D4:29:B8:17:E8:F3:CD:BB:71:1C:3D:4B:F6:89:4A:05:F1:FD
PEM-Zertifikat anzeigen (3_ca_subca.crt) 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
⬇ 3_ca_subca.crt ⬇ Chain: 3_ca_subca_chain.crt
🔧
Root CA installieren
Damit Kleckerbox-Zertifikaten vertraut wird
🐧 Linux (Debian/Ubuntu)
1
Root CA herunterladen
wget https://ca.kleckerbox.link/1_ca_root.crt -O /usr/local/share/ca-certificates/kleckerbox-root.crt
2
Trust-Store aktualisieren
sudo update-ca-certificates
🎩 RHEL / Fedora / CentOS
1
Root CA kopieren
cp 1_ca_root.crt /etc/pki/ca-trust/source/anchors/
2
Trust aktualisieren
sudo update-ca-trust extract
🪟 Windows
1
CRT-Datei doppelklicken
Zertifikat in Vertrauenswürdige Stammzertifizierungsstellen importieren.
2
Oder via PowerShell
Import-Certificate -FilePath "1_ca_root.crt" -CertStoreLocation Cert:\LocalMachine\Root
🍎 macOS
1
Via Terminal
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain 1_ca_root.crt
2
Oder Keychain Access
CRT-Datei in Schlüsselbundverwaltung ziehen → Als vertrauenswürdig markieren.
💻
openssl CLI-Referenz
Nützliche Befehle rund um Kleckerbox-Zertifikate
Zertifikat gegen CA verifizieren
openssl verify -CAfile 1_ca_root.crt -untrusted 2_ca_intermediate.crt mycert.pem
Chain verifizieren
openssl verify -CAfile 1_ca_root.crt 2_ca_intermediate_chain.crt
Zertifikatsdetails anzeigen
openssl x509 -in mycert.pem -noout -text
Fingerprint berechnen (SHA-256)
openssl x509 -in mycert.pem -noout -fingerprint -sha256
Zertifikat gegen CRL prüfen
openssl verify -crl_check -CRLfile ca.crl.pem -CAfile 1_ca_root.crt mycert.pem
OCSP-Status prüfen
openssl ocsp -issuer 2_ca_intermediate.crt -cert mycert.pem -url http://ocsp.kleckerbox.link:8080 -resp_text
CSR erstellen
openssl req -new -newkey rsa:4096 -keyout my.key -out my.csr -subj "/C=DE/O=Kleckerbox/CN=myservice"
Ablaufdatum prüfen
openssl x509 -in mycert.pem -noout -enddate