Ein digitales Zertifikat (Public Key Zertifikat, PKI Zertifikat) enthält den Public Key eines Benutzers, eines Dienstes oder Systems sowie einen eindeutigen Namen des Zertifikatsinhabers. Diese Daten werden durch eine CA für einen festgelegten Zeitraum beglaubigt, indem sie das Zertifikat mit einer digitalen Signatur versieht. Standard Datei-Erweiterungen sind .cer, .cert und .pem.
Für die Verschlüsselung von Nachrichten für einen Empfänger wird ein digitales Zertifikat benötigt, das den öffentlichen Schlüssel des Empfängers enthält. Digitale Zertifikate können auch zur starken Authentisierung von Benutzern, Diensten oder Geräten dienen. Sie können auch zur Prüfung von digitalen Signaturen genutzt werden.
Zertifikate können für sichere E-Mail, Web-Security, Windows SmartCard-Logon, VPN, Verschlüsselung von Dateien, digitale Dokumentsignaturen und viele weitere Anwendungen genutzt werden.
X.509 ist eine ITU-T Empfehlung für die Struktur und Nutzung digitaler Zertifikate. X.509 Zertifikate werden in vielen Betriebssystemen und Standardanwendungen unterstützt.
Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige dritte Partei, welche digitale Zertifikate oder Sperrlisten (Certificate Revocation Lists, CRLs) gemäß X.509 mit dem eigenen privaten Schlüssel signiert.
Eine Sperrliste (Certificate Revocation Lists, CRLs) enthält die Seriennummern von Zertifikaten, die gesperrt wurden und daher nicht mehr verwendet werden dürfen. Sie kann weitere Informationen wie den Sperrzeitpunkt oder den Sperrgrund enthalten.
Eine Zertifikatskette beinhaltet alle Zertifikate von einem Benutzer oder Computer (End Entity Zertifikat) über die ausstellende CA (Issuing CA Zertifikat) und zwischengelagerte CAs (Intermediate CA Zertifikat) bis hin zur Wurzel-Zertifizierungsstelle (Root CA Zertifikat).
PKCS#12 ist ein Standard der RSA Labs, der ein portables Format zum Speichern und Transport privater Benutzerschlüssel, Zertifikate etc. spezifiziert. Ein PKCS#12 Container kann mittels Passwort verschlüsselt werden Standard Datei-Erweiterungen sind .p12 und .pfx.
Ein PKI Token ist eine Krypto Hardware Komponente, typischerweise in der Form eines USB Dongle. Typischerweise enthält der USB Dongle einen Smart Card Chip auf dem die Krypto-Operationen ausgeführt und die privaten Schlüssel und Zertifikate gespeichert werden. Damit werden Sicherheit und Benutzbarkeit kombiniert, da kein separates Chipkarten-Lesegerät wie bei einer PKI Smart Card benötigt wird. Während dies ein brauchbares Werkzeug für Windows Computer darstellt, ist eine Nutzung für Mobilgeräte meist nicht möglich.
Ein Hardware Security Module (HSM) ist eine Hardware Komponente zur Erzeugung und Speicherung von privaten Schlüsseln einer CA oder eines anderen PKI Dienstes. Zudem führt ein HSM kryptografische Operationen durch. Man unterscheidet zwischen dedizierten und Netzwerk HSMs. Dedizierte HSMs sind direkt an eine CA angeschlossen während Netzwerk HSMs von mehreren CAs genutzt werden können.