Hvad er et digitalt certifikat?
Et digitalt certifikat er en elektronisk fil, der binder en offentlig nøgle sammen med en identitet og bekræfter koblingen med en signatur fra en betroet Certificate Authority (CA). Når jeres browser viser hængelåsen ved en https-forbindelse, er det et certifikat, der beviser, at serveren faktisk tilhører det domæne, den påstår. Certifikatet er altså ikke selve krypteringen, men det identitetsbevis, der gør krypteringen troværdig.
Certifikater er byggestenene i en PKI (Public Key Infrastructure). PKI'en er hele infrastrukturen bag: CA'er, politikker, udstedelse og tilbagekaldelse. Certifikatet er det konkrete produkt, den infrastruktur leverer.
Hvad indeholder et certifikat?
Et certifikat følger standarden X.509 og indeholder i praksis tre ting:
- Den offentlige nøgle, som modparter bruger til at kryptere data til jer eller verificere jeres signaturer.
- Identitetsoplysninger: domænenavn, organisationsnavn, e-mailadresse eller maskinnavn, alt efter certifikattypen.
- CA'ens signatur plus metadata som gyldighedsperiode, serienummer og anvendelsesformål.
Den tilhørende private nøgle ligger ikke i certifikatet. Den skal opbevares sikkert hos jer, ved kritiske nøgler gerne i et HSM. Microsofts dokumentation på Microsoft Learn beskriver formatet og felterne i detaljer.
Hvilke typer certifikater findes der?
Til TLS/https skelnes der mellem valideringsniveauer: DV (Domain Validation) beviser kun kontrol over domænet, OV (Organization Validation) bekræfter også virksomheden bag, og EV (Extended Validation) kræver den grundigste kontrol. Teknisk krypterer de ens, forskellen er, hvor meget identitet CA'en har verificeret.
Derudover bruger virksomheder S/MIME-certifikater til signering og kryptering af e-mail, klientcertifikater til at identificere brugere og maskiner over for netværk og systemer, dokumentsigneringscertifikater til juridisk bindende signaturer samt certifikater til code signing af software.
Hvorfor udløber certifikater, og hvad sker der så?
Alle certifikater har en begrænset gyldighed, typisk et år eller kortere for TLS. Det er en sikkerhedsmekanisme: Kortere levetid begrænser skaden ved lækkede nøgler og tvinger oplysningerne til at blive genvalideret jævnligt. Konsekvensen er, at fornyelse er en tilbagevendende driftsopgave, og et overset udløb rammer hårdt: Browsere blokerer siden med en advarsel, API-kald fejler, og mailflows stopper. Hele forløbet fra bestilling til fornyelse har vi beskrevet under TLS-certifikatets livscyklus, og med ACME kan fornyelsen automatiseres helt. Vil I dybere ned i emnet, har vi samlet det hele i e-bogen PKI og HSM i praksis.
Sådan hjælper MI Support IT
Vi har mangeårig specialisterfaring med PKI og certifikathåndtering i danske virksomheder, fra det samlede overblik over jeres certifikater til automatiseret fornyelse og sikker nøgleopbevaring. Læs mere under PKI Management, eller kontakt os for en konkret snak om jeres certifikatlandskab.