Ein Client-Zertifikat weist Ihre Identität digital nach – gegenüber Portalen, Anwendungen oder Netzwerken. Unser S/MIME-Zertifikat von GlobalSign enthält die Erweiterung Extended Key Usage: Client Authentication und eignet sich damit sowohl für die zertifikatsbasierte Anmeldung als auch für E-Mail-Verschlüsselung und digitale Signaturen.
Eigenschaften des Client-Zertifikats
- X.509-Zertifikat mit Client Authentication (EKU)
- 2-Faktor-Authentifizierung
- SHA-2-Signatur
- GlobalSign PersonalSign Class 1
- Zertifikat im PFX-Format
- Zusätzlich: E-Mail-Signierung & Verschlüsselung
Client-Zertifikat – Kosten
Das Client-Zertifikat ist bereits für 59,00 € pro Jahr erhältlich. Keine Einrichtungsgebühr.
Was ist ein Client-Zertifikat?
Ein Client-Zertifikat ist ein digitaler Ausweis nach dem X.509-Standard. Es wird im Browser oder Betriebssystem installiert und weist bei der Anmeldung an einem System automatisch Ihre Identität nach – ohne Benutzername und Passwort oder als zweiter Faktor zusätzlich dazu.
Entscheidend ist die Erweiterung Extended Key Usage: Client Authentication. Nur Zertifikate mit dieser Erweiterung werden von Portalen und Anwendungen als gültiger Identitätsnachweis akzeptiert. Unser GlobalSign-Zertifikat enthält genau diese Erweiterung.
Im Unterschied zu einem Server-Zertifikat (SSL/TLS), das die Identität einer Website bestätigt, bestätigt ein Client-Zertifikat die Identität des Nutzers gegenüber dem Server.
Warum werden Client-Zertifikate immer wichtiger?
Bisher wurden häufig TLS-Zertifikate (SSL-Zertifikate) für die Client-Authentifizierung zweckentfremdet. Ab 2026 stellen öffentliche Zertifizierungsstellen (CAs) jedoch keine TLS-Zertifikate mehr mit der Erweiterung „Client Authentication" aus. Wer sich bisher mit einem TLS-Zertifikat an Portalen oder Netzwerken authentifiziert hat, braucht eine Alternative.
S/MIME-Zertifikate mit Client-Authentication-Erweiterung sind diese Alternative. Sie werden von öffentlichen CAs wie GlobalSign ausgestellt und sind für die zertifikatsbasierte Authentifizierung ausdrücklich vorgesehen.
Kurz gesagt: TLS-Zertifikate verlieren die Client-Authentication-Funktion. S/MIME-Zertifikate mit EKU: Client Authentication sind der zukunftssichere Ersatz.
Welche Anwendungsfälle gibt es für Client-Zertifikate?
-
BfArM – DiGA-/DiPA-Antragsportal, PharmNet.Bund und RuBen
Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) verlangt für den Zugang zu mehreren Portalen eine zertifikatsbasierte 2-Faktor-Authentifizierung – darunter das DiGA- und DiPA-Antragsportal, PharmNet.Bund (Arzneimittel-Informationssystem) und RuBen (Ruhen und Befristung von Zulassungen). Voraussetzung ist jeweils ein X.509-Zertifikat mit der Erweiterung „Client Authentication" und SHA-2-Signatur – unser GlobalSign-Zertifikat erfüllt diese Anforderungen.
-
Behörden- und Unternehmensportale
Zahlreiche Behörden, Kammern und Unternehmen setzen auf zertifikatsbasierte Authentifizierung für den Zugang zu geschützten Online-Portalen. Das Client-Zertifikat ersetzt oder ergänzt die klassische Anmeldung mit Benutzername und Passwort.
-
VPN- und Netzwerk-Zugang
Client-Zertifikate ermöglichen eine sichere Anmeldung an VPN-Gateways und Unternehmensnetzwerken – ohne Passwörter, die abgefangen oder erraten werden können.
-
Intranet und interne Anwendungen
Unternehmen schützen interne Systeme, Wikis oder Verwaltungstools mit zertifikatsbasierter Authentifizierung. Das Zertifikat stellt sicher, dass nur autorisierte Personen Zugang erhalten.
Client-Zertifikat bestellen – so funktioniert's
1. Bestellen: Geben Sie die E-Mail-Adresse an, für die das Zertifikat ausgestellt werden soll. Zusätzlich legen Sie ein Passwort fest (8–32 Zeichen, nur Buchstaben und Zahlen). Dieses Pickup-Passwort benötigen Sie später, um Ihr Zertifikat sicher herunterzuladen.
2. Zertifikat herunterladen: Nach der Ausstellung erhalten Sie von GlobalSign eine E-Mail mit einem Download-Link. Über diesen Link laden Sie Ihr Zertifikat als PFX-Datei herunter – geschützt durch Ihr Pickup-Passwort.
3. Importieren: Importieren Sie die PFX-Datei in Ihren Browser (Firefox, Chrome, Edge) oder in Ihr Betriebssystem. Ab sofort können Sie sich mit dem Zertifikat an Portalen und Anwendungen authentifizieren.
Nach der Bestellung erhalten Sie E-Mails von GlobalSign. In unserer Anleitung: Zertifikat abholen → erklären wir jeden Schritt. Zur Einrichtung im Browser haben wir eine separate Schritt-für-Schritt-Anleitung → erstellt.
Zusätzlich nutzbar: E-Mail-Verschlüsselung und digitale Signatur
Da es sich um ein vollwertiges S/MIME-Zertifikat handelt, können Sie es neben der Client-Authentifizierung auch für die E-Mail-Verschlüsselung und digitale Signatur verwenden – in Outlook, Thunderbird, Apple Mail und anderen E-Mail-Programmen. Ein Zertifikat, zwei Einsatzbereiche.
Häufige Fragen zu Client-Zertifikaten
Antworten auf die wichtigsten Fragen rund um Client-Authentifizierung, Einsatzgebiete und Bestellung.
Was ist ein Client-Authentifizierungszertifikat?
Ein Client-Authentifizierungszertifikat ist ein digitaler Ausweis nach dem X.509-Standard. Es identifiziert einen Benutzer oder ein Gerät gegenüber einem Server – vergleichbar mit einem elektronischen Personalausweis. Das Zertifikat wird im Browser oder Betriebssystem installiert und bei der Anmeldung automatisch übermittelt.
Wofür wird ein Client-Zertifikat verwendet?
Client-Zertifikate dienen der sicheren Anmeldung an geschützten Systemen – ohne oder ergänzend zu Passwörtern. Typische Einsatzgebiete: Behördenportale (z. B. BfArM), Unternehmensanwendungen, VPN-Zugänge, WLAN-Authentifizierung und Cloud-Dienste. Das Zertifikat stellt sicher, dass nur autorisierte Personen oder Geräte Zugang erhalten.
Was ist der Unterschied zwischen einem Server-Zertifikat und einem Client-Zertifikat?
Ein Server-Zertifikat (SSL/TLS) bestätigt die Identität einer Website gegenüber dem Besucher – erkennbar am Schloss-Symbol im Browser. Ein Client-Zertifikat funktioniert genau umgekehrt: Es bestätigt die Identität des Nutzers gegenüber dem Server. Beide basieren auf dem X.509-Standard, haben aber unterschiedliche Erweiterungen (Extended Key Usage).
Warum ist ein Client-Zertifikat sicherer als ein Passwort?
Passwörter können erraten, gestohlen oder per Phishing abgefangen werden. Ein Client-Zertifikat basiert auf einem kryptografischen Schlüsselpaar – der private Schlüssel verlässt Ihr Gerät nie. Selbst wenn jemand Ihre Zugangsdaten kennt, kann er sich ohne das Zertifikat nicht anmelden. In Kombination mit einem Passwort ergibt sich eine echte 2-Faktor-Authentifizierung.
Was bedeutet „Extended Key Usage: Client Authentication"?
Extended Key Usage (EKU) ist ein Feld im Zertifikat, das festlegt, wofür es verwendet werden darf. Die Erweiterung „Client Authentication" erlaubt den Einsatz als digitaler Identitätsnachweis gegenüber Servern und Portalen. Ohne diese Erweiterung wird ein Zertifikat von den meisten Systemen nicht für die Anmeldung akzeptiert. Unser GlobalSign-Zertifikat enthält diese Erweiterung.
Ist ein S/MIME-Zertifikat auch für die Client-Authentifizierung nutzbar?
Ja – vorausgesetzt, das Zertifikat enthält die Erweiterung „Extended Key Usage: Client Authentication". Das ist bei unserem GlobalSign PersonalSign Class 1 der Fall. Sie können es sowohl für die Client-Authentifizierung an Portalen als auch für E-Mail-Verschlüsselung und digitale Signaturen verwenden.
Wie funktioniert die Anmeldung mit einem Client-Zertifikat technisch?
Beim Verbindungsaufbau (SSL/TLS-Handshake) fordert der Server ein Client-Zertifikat an. Ihr Browser sendet daraufhin das installierte Zertifikat. Der Server prüft die Signatur anhand der Zertifizierungsstelle (CA) und gewährt bei erfolgreicher Prüfung den Zugang. Der gesamte Vorgang läuft in Sekundenbruchteilen im Hintergrund ab.
Kann jedes Zertifikat für die Client-Authentifizierung genutzt werden?
Nein. Nur Zertifikate mit der Erweiterung „Extended Key Usage: Client Authentication" werden von Servern als Identitätsnachweis akzeptiert. Ein reines SSL/TLS-Zertifikat (Server Authentication) oder ein Zertifikat ohne diese EKU-Erweiterung funktioniert dafür nicht.
Für welche Portale und Anwendungen wird ein Client-Zertifikat benötigt?
Client-Zertifikate werden unter anderem für folgende Systeme benötigt:
- BfArM: DiGA-/DiPA-Antragsportal, PharmNet.Bund, RuBen
- Unternehmensanwendungen: SAP, Salesforce, interne Portale
- Netzwerk-Zugang: VPN-Gateways, WLAN (802.1X), Remote-Arbeitsplätze
- Cloud-Dienste: API-Zugriffe, geschützte Webservices
Die Anzahl der Systeme mit zertifikatsbasierter Authentifizierung wächst stetig.
Warum verlangen Behördenportale ein Zertifikat für den Zugang?
Behörden verarbeiten sensible Daten – von Arzneimittelzulassungen bis zu personenbezogenen Informationen. Ein Passwort allein bietet keinen ausreichenden Schutz. Das Client-Zertifikat stellt kryptografisch sicher, dass nur verifizierte Personen Zugang erhalten. In Kombination mit Benutzername und Passwort entsteht eine 2-Faktor-Authentifizierung, die regulatorische Anforderungen erfüllt.
Eignet sich ein Client-Zertifikat auch für VPN oder Remote-Zugänge?
Ja. Viele VPN-Lösungen und Remote-Access-Systeme unterstützen die Authentifizierung per Client-Zertifikat. Das Zertifikat ersetzt oder ergänzt die Passwort-Anmeldung und schützt vor unbefugtem Zugriff – besonders relevant für Home-Office und mobiles Arbeiten.
Wie bestelle ich ein Client-Authentifizierungszertifikat?
Die Bestellung dauert nur wenige Minuten: Geben Sie die E-Mail-Adresse an, für die das Zertifikat ausgestellt werden soll, und legen Sie ein Pickup-Passwort fest. Nach der Ausstellung erhalten Sie von GlobalSign eine E-Mail mit Download-Link. Die PFX-Datei importieren Sie anschließend in Ihren Browser oder Ihr Betriebssystem. Eine
Schritt-für-Schritt-Anleitung begleitet Sie durch den gesamten Prozess.
Welche Daten werden für die Bestellung benötigt?
Sie benötigen lediglich die E-Mail-Adresse, für die das Zertifikat ausgestellt werden soll, und ein selbst gewähltes Pickup-Passwort (8–32 Zeichen, Buchstaben und Zahlen). Weitere Angaben oder Dokumente sind für das GlobalSign PersonalSign Class 1 nicht erforderlich.
Wie lange ist ein Client-Authentifizierungszertifikat gültig?
Das Zertifikat ist ab Ausstellung ein Jahr gültig. Vor Ablauf sollten Sie rechtzeitig ein neues Zertifikat bestellen und importieren – andernfalls verlieren Sie den Zugang zu Portalen und Anwendungen, die das Zertifikat voraussetzen.
Was passiert, wenn mein Client-Zertifikat fehlt oder ungültig ist?
Ohne gültiges Zertifikat verweigert der Server den Zugang. Typische Fehlermeldungen sind „400 Bad Request – No required SSL certificate was sent" oder „403 Forbidden". In diesem Fall müssen Sie ein gültiges Zertifikat in Ihrem Browser installieren oder ein abgelaufenes Zertifikat erneuern.