Security: Die eigene CA mit TPM-Chip einrichten

Wer sich OpenSSL-Befehle auf der Kommandozeile ersparen will, greift zum grafischen Tool XCA und speichert den privaten Schlüssel im TPM-Chip des Computers.

Artikel verschenken

1

06.03.2026, 07:00 Uhr

Lesezeit: 13 Min.

iX Magazin

Von

Markus Stubbig

Security: Die eigene CA mit TPM-Chip einrichten
- CA mit dem grafischen Tool XCA einrichten
Schlüssel im TPM-Chip erstellen
Zertifikat für einen Webserver ausstellen
Kommandozeilenbefehle und Alternativen für XCA
Fazit

Artikel in iX 4/2026 lesen

In einem Projekt, einem Proof of Concept oder in einer Laborumgebung kommt schnell der Bedarf nach einer Certificate Authority (CA) auf, die sich mit Tools wie OpenSSL, certtool oder CFSSL in wenigen Befehlen verwalten lässt. Der kritische private Schlüssel liegt dann jedoch im Dateisystem, möglicherweise sogar unverschlüsselt. Wenn die CA dann ungewollt noch produktiv genutzt wird, ist das Sicherheitsdrama perfekt. Dennoch muss man sich für Ad-hoc-CAs dieser Art kein Hardware Security Module (HSM) anschaffen.

Die Lösung: Die Root-CA speichert ihren privaten Schlüssel im Trusted Platform Module (TPM). Dank der Anforderungen von Windows 11 besitzen nahezu alle neuen PCs einen solchen Sicherheitschip, der entweder auf dem Mainboard sitzt oder in die CPU integriert ist. Somit kann ein herkömmlicher Windows-Rechner zur CA werden und mit dem TPM Kryptoaufgaben erledigen.

Seit Windows 11 verfügt nahezu jeder PC über den Sicherheitsprozessor Trusted Platform Module (TPM).
Eine Certification Authority (CA) kann den privaten Schlüssel im TPM erzeugen und sicher ablegen.
Eine CA mit TPM erhöht die Sicherheit, reicht aber nicht an ein Hardware Security Module (HSM) heran.
Das grafische Werkzeug XCA fungiert als Frontend und erstellt und verwaltet digitale Zertifikate, Schlüssel sowie CAs.

Auf der Softwareseite kommt XCA hinzu (Dokumentation). Die grafische Anwendung beherrscht das Tagesgeschäft einer CA: Zertifikatsanträge annehmen und Zertifikate ausstellen. Sie ist kostenfrei und erfordert keine Kommandozeilenakrobatik. Die TPM-CA erreicht bestenfalls das Sicherheitsniveau eines Selbsthosters und will auch nicht mit professioneller Software konkurrieren. Sie lässt sich aber einfach bedienen, ist günstig und bringt ein Plus an Sicherheit.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Ein Notebook, an das per Thunderbolt ein Monitor und eine SSD angeschlossen sind

Was USB-C und Thunderbolt am Monitor können

Immer mehr Monitore haben Typ-C-Buchsen als Ein- und Ausgänge. Was sie können, hängt davon ab, ob sie USB 3.x, USB4 oder Thunderbolt nutzen. Eine Übersicht.

Teleobjektiv fürs Smartphone: Mehr Reichweite für wenig Geld

Externe Teleoptiken versprechen mehr Brennweite als der Digitalzoom. Wir zeigen, wie gut sie sich für Wildlife, Mondfotos und den Alltag eignen.

Verschleißmelder für Maschinen mit ESP32 selber bauen

Lockere Schrauben, Unwucht oder verschlissene Lager kündigen sich lange an. Mit wenig Hardware und etwas Mathematik können Sie Maschinenzustände überwachen.

Ein Myonendetektor zum Selberbauen

Kosmische Strahlung trifft unaufhörlich unbemerkt die Erde. Mit nur wenigen Mitteln können Sie selbst einen Detektor bauen und Myonen aus dem Weltall aufspüren.

Fahrzeugdaten in Home Assistant darstellen per OBD2-Dongle

Tankfüllstand, Drehzahl, Fahrtdaten: Mit einem OBD2-Dongle lassen sich umfangreiche Autodaten in Home Assistant anzeigen.

Dokumente mit KI verwalten: paperless-ngx mit einem Sprachmodell verbinden

Eine Dokumentenverwaltung wie paperless-ngx hilft dabei, Dokumente aller Art zu organisieren. Mit einem verbundenen KI-Sprachmodell geht das noch besser.