MulticheckMulticheck Domainsuche
Menü anzeigen

Intermediate CA

Definitionen und Erklärungen zu Intermediate CA

Startseite > Glossar > Intermediate CA

Intermediate CA: Was ist eine Intermediate Certificate Authority?

Eine Intermediate CA (Intermediate Certificate Authority, Zwischenzertifizierungsstelle) ist eine Zertifizierungsstelle, die selbst von einer Root CA beglaubigt wurde und SSL-/TLS-Zertifikate oder andere digitale Zertifikate für Endnutzer, Server oder Organisationen ausstellen darf. Sie bildet die Mittelschicht in einer Zertifikatskette (Certificate Chain) und ist ein zentrales Element der Public Key Infrastructure (PKI).

Aufbau einer Zertifikatskette

Die Vertrauenskette (Chain of Trust) besteht in der Regel aus folgenden Elementen:

  1. Root-Zertifikat: Selbstsigniert, auf Betriebssystemen und Browsern vorinstalliert
  2. Intermediate-Zertifikat(e): Von der Root CA signiert, signiert wiederum Endnutzerzertifikate
  3. End-Entity-Zertifikat: Das eigentliche SSL-Zertifikat für eine Domain oder Anwendung
Beispiel für eine SSL-Zertifikatskette

Root CA:       DigiCert Global Root CA
Intermediate:  DigiCert TLS RSA SHA256 2020 CA1
Zertifikat:    www.example.com (DV/OV/EV-Zertifikat)
Vorteile von Intermediate CAs
  • Trennung von Vertrauen und Betrieb: Die Root-CA bleibt geschützt und offline
  • Bessere Kontrolle: Intermediate-Zertifikate lassen sich bei Missbrauch sperren, ohne die Root CA zu kompromittieren
  • Flexibilität: Eine CA kann mehrere Intermediate CAs für unterschiedliche Produkte (z. B. DV, OV, EV) betreiben
  • Skalierbarkeit: Erleichtert verteilte Infrastruktur und Sub-CAs
Wichtige Begriffe im Zusammenhang
Begriff Bedeutung
Root CA Vertrauensanker, selbstsigniertes Zertifikat auf Systemen vorinstalliert
Intermediate CA Zertifizierungsinstanz zwischen Root und Endzertifikat
End-Entity-Zertifikat Das tatsächliche SSL-Zertifikat einer Domain oder Organisation
Chain File Datei mit Zwischenzertifikaten, wird bei Webserver-Konfiguration benötigt
Bezug zu Hosting und Domainbetrieb
  • Beim SSL-Zertifikat kaufen erhält man neben dem eigentlichen Zertifikat auch ein oder mehrere Intermediate-Zertifikate
  • Diese müssen bei der Webserver-Konfiguration korrekt eingebunden werden (z. B. SSLCertificateChainFile bei Apache)
  • Ohne korrekt eingebundene Intermediate CAs kann es zu Browserwarnungen („Zertifikat nicht vertrauenswürdig“) kommen
  • Auch E-Mail-Server oder API-Endpunkte benötigen die vollständige Zertifikatskette
Intermediate CA und Sicherheit
  • Bei Kompromittierung kann ein Intermediate-Zertifikat gesperrt (revoked) werden, ohne die Root CA zu gefährden
  • Vertrauenswürdige Intermediate-Zertifikate müssen durch das CA/Browser-Forum anerkannt sein
  • OCSP- und CRL-Dienste überprüfen auch den Status von Intermediate-Zertifikaten
Empfehlungen für Anwender und Administratoren
  • Immer vollständige Zertifikatskette einbinden – insbesondere in Webservern, Load-Balancern und Reverse Proxys
  • Intermediate CAs regelmäßig aktualisieren, insbesondere bei verlängerten oder neuen Zertifikaten
  • Vermeiden Sie manuelle Zertifikatsverknüpfungen, wenn Ihr Hosting-Panel dies automatisch erledigt (z. B. Plesk)
Zusammenfassung
  • Intermediate CAs sind Vermittler zwischen Root CAs und Endzertifikaten
  • Sie erhöhen die Sicherheit, Flexibilität und Skalierbarkeit innerhalb der PKI
  • Ohne die korrekte Einbindung der Zwischenzertifikate kann es zu Fehlern in der SSL-Verbindung kommen
  • Für einen reibungslosen HTTPS-Betrieb sollte die vollständige Zertifikatskette stets korrekt konfiguriert sein

Alle Angaben ohne Gewähr.

<-- InhaberwechselInternet -->
Preise inkl. MwSt. Angebote sind zeitlich begrenzt verfügbar und teilweise an Mindestvertragslaufzeiten gebunden.