Eine Private PKI (Private Public Key Infrastructure) ist eine unternehmenseigene Zertifikatsinfrastruktur, mit der Organisationen eigene digitale Zertifikate ausstellen, verwalten und widerrufen können. Im Gegensatz zu öffentlichen SSL-Zertifikaten, die von externen Zertifizierungsstellen wie DigiCert oder Let's Encrypt ausgestellt werden, betreibt das Unternehmen bei einer Private PKI seine eigene Certificate Authority (CA). Die ausgestellten Zertifikate werden ausschließlich innerhalb der Organisation anerkannt und sind für interne Kommunikation, Geräteauthentifizierung und Dienstabsicherung vorgesehen.
Eine Private PKI kommt überall dort zum Einsatz, wo interne Systeme kryptografisch abgesichert werden müssen, ohne dass öffentliche Zertifizierungsstellen involviert sein sollen. Zu den häufigsten Anwendungsfällen gehört Mutual TLS (mTLS), bei dem sich Client und Server gegenseitig per Zertifikat authentifizieren. Dies ist besonders bei Microservice-Architekturen und API-Kommunikation verbreitet, wo jeder Dienst seine Identität nachweisen muss.
VPN-Authentifizierung ist ein weiterer klassischer Anwendungsfall: Statt Benutzername und Passwort erhalten Mitarbeiter ein Client-Zertifikat, das den Zugang zum Unternehmensnetz absichert. Für Code Signing stellt die Private PKI Zertifikate aus, mit denen intern entwickelte Software signiert wird, um deren Herkunft und Integrität zu verifizieren. Auch die Verschlüsselung interner E-Mail-Kommunikation über S/MIME und die Authentifizierung von IoT-Geräten im Unternehmensnetz lassen sich über eine Private PKI abbilden.
Öffentliche SSL-Zertifikate werden von Zertifizierungsstellen ausgestellt, denen Browser und Betriebssysteme vertrauen. Sie eignen sich für Webseiten, die von externen Besuchern aufgerufen werden — etwa das eigene Webhosting-Projekt oder ein Online-Shop. Das Vertrauen basiert auf der Verankerung der CA-Zertifikate in den Trust-Stores der Betriebssysteme.
Eine Private PKI arbeitet mit einem eigenen Root-Zertifikat, das nur innerhalb der Organisation verteilt und als vertrauenswürdig eingestuft wird. Browser und externe Systeme kennen dieses Root-Zertifikat nicht und würden die daraus abgeleiteten Zertifikate als nicht vertrauenswürdig einstufen. Genau das ist gewollt: Interne Zertifikate sollen nur intern gelten. Dadurch behält das Unternehmen die vollständige Kontrolle über Ausstellung, Laufzeiten und Widerruf.
Ein weiterer Unterschied betrifft die Flexibilität: Während öffentliche Zertifizierungsstellen an strenge Vorgaben gebunden sind — etwa maximale Laufzeiten von 90 Tagen oder bestimmte Schlüsselgrößen —, kann eine Private PKI eigene Richtlinien definieren. Zertifikate können für interne Hostnamen, IP-Adressen oder beliebige Identifier ausgestellt werden, die bei öffentlichen CAs nicht möglich wären.
Eine typische Private PKI besteht aus mehreren Ebenen. An der Spitze steht die Root CA, deren privater Schlüssel besonders geschützt werden muss — idealerweise offline oder in einem Hardware Security Module (HSM). Die Root CA stellt Zertifikate für eine oder mehrere Intermediate CAs aus, die den täglichen Betrieb übernehmen und Endgeräte-Zertifikate ausstellen.
Diese hierarchische Struktur begrenzt das Risiko: Wird eine Intermediate CA kompromittiert, kann sie widerrufen werden, ohne die gesamte Infrastruktur neu aufbauen zu müssen. Zu einer vollständigen Private PKI gehören außerdem ein Zertifikatsspeicher, ein Mechanismus zur Zertifikatswiderrufung (CRL oder OCSP) und Prozesse für die Schlüsselverwaltung.
Der Betrieb einer eigenen PKI erfordert Fachwissen und kontinuierliche Pflege. Zertifikate müssen rechtzeitig erneuert, Widerrufslisten aktuell gehalten und Schlüsselmaterial sicher verwahrt werden. Bei wachsender Anzahl von Geräten und Diensten steigt der Verwaltungsaufwand erheblich. Automatisierungslösungen wie ACME-Server oder Zertifikatsmanagement-Plattformen helfen, diesen Aufwand zu reduzieren. Für Unternehmen, die eigene Server oder VPS-Umgebungen betreiben, kann eine Private PKI die Sicherheit der internen Kommunikation deutlich erhöhen — vorausgesetzt, die Infrastruktur wird professionell gewartet.
Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.