T
ssl tls x509 certificates pki security

SSL/TLS- und Zertifikats-Leitfaden: X.509, PEM und Zertifikatsketten

Entmystifizierung der Web-Sicherheitsinfrastruktur. Erfahren Sie mehr über SSL/TLS 1.3, X.509-Zertifikate und PEM/DER-Formate.

2026-04-11

Der ultimative Leitfaden zu SSL/TLS-Zertifikaten: X.509, PEM und moderne Standards

Wenn Sie das Vorhängeschloss-Symbol in der Adressleiste Ihres Browsers sehen, wissen Sie, dass Ihre Verbindung sicher ist. Aber hinter diesem kleinen Symbol verbirgt sich eine komplexe Infrastruktur aus digitalen Zertifikaten, kryptographischen Schlüsseln und vertrauenswürdigen Zertifizierungsstellen.

Dieser Leitfaden wird SSL/TLS-Zertifikate entmystifizieren und die Formate, die Beteiligten und die Protokolle erklären, die das Web sicher halten.

1. Was ist ein X.509-Zertifikat?

X.509 ist der internationale Standard für das Format von Public-Key-Zertifikaten. Wenn jemand von einem „SSL-Zertifikat“ spricht, meint er eigentlich ein X.509-Zertifikat.

Ein X.509-Zertifikat verknüpft einen öffentlichen Schlüssel mit einer Identität (wie einem Domainnamen oder einem Unternehmen) und ist von einer Zertifizierungsstelle (CA) digital signiert.

2. Gängige Zertifikatsformate

Zertifikate gibt es in verschiedenen Dateierweiterungen, was verwirrend sein kann. Die zwei Hauptarten, ein Zertifikat zu kodieren, sind:

PEM (Privacy Enhanced Mail)

Dies ist das am häufigsten verwendete Format für Webserver wie Apache und Nginx.

  • Erweiterung: .pem, .crt, .cer, .key
  • Format: Base64-kodierter ASCII-Text. Es beginnt mit -----BEGIN CERTIFICATE-----.

DER (Distinguished Encoding Rules)

Eine binäre Version eines Zertifikats. Wird häufig in Java-basierten Umgebungen oder unter Windows verwendet.

  • Erweiterung: .der, .cer
  • Format: Binärdaten.

PKCS#12 (PFX)

Ein „Bundle“-Format, das das Zertifikat, die Zwischenkette (Intermediate Chain) und den privaten Schlüssel in einer einzigen passwortgeschützten Datei speichern kann.

  • Erweiterung: .p12, .pfx
  • Anwendungsfall: Verschieben von Zertifikaten zwischen Servern oder Installation unter Windows/IIS.

3. Der Lebenszyklus: Von der CSR zur CA

Wie bekommt man ein Zertifikat?

  1. Privaten Schlüssel generieren: Sie erstellen einen geheimen Schlüssel, der auf Ihrem Server bleibt.
  2. CSR (Certificate Signing Request) erstellen: Dies ist eine Datei, die Ihren öffentlichen Schlüssel und Ihre Identitätsdaten enthält.
  3. Einreichung: Sie senden die CSR an eine Zertifizierungsstelle (CA) wie Let's Encrypt, DigiCert oder Sectigo.
  4. Verifizierung: Die CA überprüft, ob Sie tatsächlich der Eigentümer der Domain sind.
  5. Ausstellung: Die CA signiert Ihr Zertifikat und sendet es an Sie zurück.

4. Moderne Standards: TLS 1.3 und darüber hinaus

Obwohl wir sie immer noch „SSL-Zertifikate“ nennen, ist das SSL-Protokoll selbst veraltet und unsicher. Wir verwenden heute TLS (Transport Layer Security).

TLS 1.3: Der aktuelle Standard

TLS 1.3 wurde 2018 veröffentlicht und ist schneller und sicherer als seine Vorgänger.

  • Geschwindigkeit: Es reduziert die Anzahl der für den Verbindungsaufbau erforderlichen „Handshakes“, wodurch Websites schneller geladen werden.
  • Sicherheit: Es wurden veraltete, unsichere Verschlüsselungsalgorithmen (wie MD5 und SHA-1) entfernt.

SNI (Server Name Indication)

SNI ist eine Erweiterung von TLS, die es einem einzelnen Server (mit einer IP-Adresse) ermöglicht, mehrere SSL-Zertifikate für verschiedene Domains zu hosten. Dies ermöglicht modernes Shared Hosting und CDNs.

OCSP (Online Certificate Status Protocol)

OCSP ist eine Methode für Browser, um vor dem Ablaufdatum zu prüfen, ob ein Zertifikat widerrufen wurde (z. B. wenn der private Schlüssel gestohlen wurde).

5. Zusammenfassung der Erweiterungen

Erweiterung Format Inhalt Anwendungsfall
.pem / .crt PEM (Text) Nur Zertifikat Linux-Server (Nginx/Apache)
.key PEM (Text) Privater Schlüssel Linux-Server (Nginx/Apache)
.p12 / .pfx PKCS#12 (Binär) Zert + Key + Chain Windows (IIS), Java
.csr PEM (Text) Signierungsanfrage Zertifikatsbeantragung

Best Practices

  1. Halten Sie Ihren privaten Schlüssel geheim: Wenn jemand Ihre .key-Datei stiehlt, kann er sich als Ihr Server ausgeben.
  2. Nutzen Sie Let's Encrypt: Für die meisten Websites bietet Let's Encrypt kostenlose, automatisierte Zertifikate an, die genauso sicher sind wie kostenpflichtige.
  3. Überwachen Sie den Ablauf: Nutzen Sie Tools, um sich warnen zu lassen, bevor Ihr Zertifikat abläuft, um „Ihre Verbindung ist nicht privat“-Fehler zu vermeiden.
  4. Deaktivieren Sie alte Protokolle: Stellen Sie sicher, dass Ihr Server so konfiguriert ist, dass er nur TLS 1.2 und TLS 1.3 zulässt.

Fazit

SSL/TLS-Zertifikate sind das Fundament des Vertrauens im Internet. Während die technischen Details wie X.509 und PEM anfangs überwältigend erscheinen mögen, ist das Grundprinzip einfach: Sie beweisen, dass Sie derjenige sind, der Sie vorgeben zu sein, und dass die Daten Ihrer Benutzer privat bleiben.

Müssen Sie ein Zertifikatsformat konvertieren oder einen Hash überprüfen? Obwohl wir noch kein spezielles SSL-Tool haben, können Sie unseren Hash Generator verwenden, um die Integrität Ihrer Zertifikatsdateien zu überprüfen.

Zurück zum Blog