Zum Inhalt springen

Grundkonzepte der Certificate API

Zuletzt aktualisiert am

Die STACKIT Certificate API ist in den STACKIT Application Load Balancer (ALB) integriert und unterstützt Sie dabei, TLS/SSL-Zertifikate sicher und effizient zu verwalten. Diese Integration stellt eine verschlüsselte Kommunikation zwischen Clients und Ihren Anwendungen sicher, die hinter dem STACKIT Application Load Balancer laufen.

Mit der STACKIT Certificate API können Sie:

  • TLS/SSL-Zertifikate sicher speichern.
  • Zertifikate dynamisch verwalten.
  • Gespeicherte Zertifikate beim Erstellen von HTTPS-Listenern für den ALB abrufen und verwenden.
  • Verschlüsselte Kommunikation für Anwendungen hinter dem ALB aktivieren.

Ein eindeutiger Name, den Sie jedem TLS/SSL-Zertifikat zuweisen.

Der öffentliche Teil des TLS-Zertifikats, ausgestellt von einer Zertifizierungsstelle (Certificate Authority, CA) oder selbstsigniert. Clients verwenden dieses Zertifikat, um sichere Verbindungen aufzubauen und die Authentizität Ihrer Anwendung zu überprüfen.

Der geheime Schlüssel, der zum öffentlichen Zertifikat gehört. Der private Schlüssel ist für die Entschlüsselung und den Aufbau sicherer TLS-Verbindungen erforderlich. Das System speichert diesen Schlüssel sicher - geben Sie ihn niemals weiter.

Eine eindeutige Kennung für jedes TLS/SSL-Zertifikat, das in der STACKIT Certificate API gespeichert ist.

Sobald ein Zertifikat gespeichert wird, extrahiert die Certificate API bestimmte technische Details aus dem öffentlichen Schlüssel, die Sie über die API einsehen können:

  • SHA256-Fingerabdruck: Der SHA256-Hash der rohen Zertifikatsbytes.
  • SHA1-Fingerabdruck: Der veraltete SHA1-Hash zum Abgleich mit älteren Systemen.
  • Subjekt-CN: Die primäre Identität (Common Name) des Zertifikats.
    • Fallback-Reihenfolge: Common Name → Erster DNS-Name → Vollständiger Subjekt-String.
  • Aussteller-CN: Der Common Name (CN) der Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat.
  • Organisation: Der Organisationsname, der dem Zertifikatssubjekt zugeordnet ist.
  • DNS-Namen: Liste aller Domains und IP-Adressen, für die das Zertifikat gültig ist (Subject Alternative Names – SANs).
  • Seriennummer: Die eindeutige hexadezimale Seriennummer, die von der CA vergeben wurde.
  • Gültig ab: Der Zeitstempel, der angibt, ab wann das Zertifikat gültig ist.
  • Gültig bis: Der Ablaufzeitstempel, nach dem das Zertifikat ungültig ist.
  • Ist CA: Ein boolescher Wert, der angibt, ob das Zertifikat eine Zertifizierungsstelle ist.
  • Selbstsigniert: Ein boolescher Wert, der angibt, ob das Zertifikat mit dem eigenen privaten Schlüssel signiert wurde.
  • Schlüsselstärke: Zusammenfassung des Algorithmus und der Bitlänge des öffentlichen Schlüssels (z. B. RSA-2048 oder ECDSA-P-256). Standardmäßig „unknown”, wenn weder RSA noch ECDSA erkannt wird.
  • Erweiterte Schlüsselverwendung: Beschreibt den Verwendungszweck des Zertifikats.
    • Für jede aufgeführte Verwendung fügt die API einen Eintrag hinzu und kann „Server Authentication (SSL/TLS Server)”, das für einen Load Balancer erforderlich ist, „Client Authentication (mTLS)”, „Any usage” und „Other usage” identifizieren.
  • Signaturalgorithmus: Der Algorithmus, den die CA zum Signieren des Zertifikats verwendet hat.
  • Algorithmus für öffentlichen Schlüssel: Der kryptografische Algorithmus, der für das Schlüsselpaar verwendet wird (z. B. RSA oder ECDSA).

Dieser Abschnitt erklärt, wie Sie ein TLS-Zertifikat speichern und mit dem STACKIT Application Load Balancer verwenden.

  1. Geben Sie einen Zertifikatsnamen ein.
  2. Geben Sie das öffentliche Zertifikat (Public Key) ein.
  3. Geben Sie den privaten Schlüssel ein.
  4. Die Certificate API speichert das Zertifikat sicher und gibt eine Zertifikats-ID zurück.

Gespeichertes Zertifikat mit dem STACKIT Application Load Balancer verwenden

Abschnitt betitelt „Gespeichertes Zertifikat mit dem STACKIT Application Load Balancer verwenden“
  1. Geben Sie die Zertifikats-ID an, wenn Sie einen HTTPS-Listener erstellen.
  2. Der ALB ruft das Zertifikat und den privaten Schlüssel ab, um verschlüsselten Datenverkehr zu ermöglichen.

Weitere Details finden Sie in der Dokumentation der STACKIT Certificate API.