In der Regel erwirbt man ein X.509-Zertifikat von einer kommerziellen Certificate Authority (CA) wie DigiCert (https://www.digicert.com) ua. Die von den CAs vergebenen Zertifikate sind i.A. nach Vertrauensstufen klassifiziert (z.B. „Class 3“).

Ein Differenzierungsmerkmal der einzelnen Vertrauensstufen ist der Aufwand, der für die Identifizierung des Antragstellers betrieben wird:

• Bei niedrigen Vertrauensstufen genügt die Zustellbarkeit an die angegebene E-Mail-Adresse.

• Bei höheren Vertrauensstufen muss der Antragsteller z.B. einen beglaubigten Handelsregisterauszug der beantragenden Firma mitliefern. Außerdem muss ein Zeichnungsberechtigter oder PKI-Verantwortlicher der Firma sich per Post Ident-Verfahren o.Ä. identifizieren.

  Höhere Vertrauensstufen bedeuten i.A. auch höhere Gewährleistungssummen im Schadensfall, beispielsweise wenn die CA einer unberechtigten Instanz ein Zertifikat ausstellt. Genauere Informationen sind auf den Websites der CAs zu finden.

Rechtzeitig vor dem Gültigkeitsende muss ein neues Zertifikat erworben und installiert werden. Wenn der private Schlüssel kompromittiert wurde oder die Angaben im Zertifikat nicht mehr gültig sind, muss das Zertifikat widerrufen werden („Revocation“).

Sollen die Zertifikate nur für Inhouse-Anwendungen verwendet werden, dann kann es auch sinnvoll sein, eine eigene CA einzurichten. Vor einem solchen Schritt empfiehlt sich aber eine gründliche Einarbeitung in das Thema PKI (Public Key Infrastructure) z.B. anhand geeigneter Literatur.

Neben den Identifizierungsunterlagen muss der Antragsteller auch einen sogenannten Certificate Signing Request (CSR) einreichen. Ein solcher CSR lässt sich z.B. mit dem OpenSSL-Kommandozeilen-Tool erstellen (siehe Abschnitt „Prozedur MAKE.CERT - Test- Zertifikate und CSRs erzeugen“).