📬 Del 5 i serien om grundläggande IT-infrastruktur
Active Directory → GPO → DNS → DHCP → PKI → NTFS

Vi har gått igenom Active Directory, Group Policy, DNS och DHCP. Nu tar vi oss an PKI och certifikat — det system som gör krypterad kommunikation möjlig och som avgör vem som kan lita på vem på internet.

Tänk dig att du får ett brev från din bank. Hur vet du att det verkligen är från banken — och inte från någon som låtsas vara banken? I fysiska världen finns det kuvert, stämplar, brevhuvuden och ibland signaturer. I den digitala världen finns det certifikat.

Ett digitalt certifikat är ett elektroniskt "id-kort" för en webbplats, server eller person. Det bevisar att den du kommunicerar med verkligen är den de utger sig för att vara — och möjliggör krypterad kommunikation så att ingen kan avlyssna vad ni säger till varandra. Systemet som håller ihop allt detta kallas PKIPublic Key Infrastructure.

Vad är PKI och certifikat — på riktigt?
Den enkla förklaringen

PKI är ett system av förtroende. I grunden handlar det om att det finns betrodda tredje parter — organisationer som alla litar på — som intygar att "ja, denna webbplats är vad den påstår sig vara". Dessa kallas Certificate Authorities (CA), eller certifikatutfärdare på svenska.

När du besöker en webbplats med https:// presenterar den ett certifikat utfärdat av en CA. Din webbläsare kontrollerar om den litar på den CA:n. Gör den det — visas hänglåset. Gör den det inte — visas varningen.

💡 Enkelt förklarat: PKI är den digitala motsvarigheten till Skatteverket — en betrodd myndighet som utfärdar "id-handlingar" som alla andra parter accepterar.
Grundläggande begrepp i PKI
Sex saker du bör känna till
01 — Kryptering med nyckelpar

PKI bygger på asymmetrisk kryptografi: varje part har ett nyckelpar bestående av en publik nyckel (som alla får se) och en privat nyckel (som bara ägaren känner till). Det som krypteras med den publika nyckeln kan bara dekrypteras med den privata — och vice versa. Det är matematisk magi som gör säker kommunikation möjlig utan att parterna behöver mötas och utbyta en hemlig nyckel.

02 — Certifikat (Certificate)

Ett certifikat är ett digitalt dokument som innehåller: ägarens identitet (t.ex. domännamnet), ägarens publika nyckel, giltighetstid, och CA:ns digitala signatur. Det är signaturen som gör certifikatet trovärdigt — CA intygar med sin egen privata nyckel att informationen stämmer.

03 — Certificate Authority (CA)

En CA är organisationen som utfärdar och signerar certifikat. Det finns publika CA:er — som DigiCert, Let's Encrypt och Sectigo — vars rot-certifikat är förinstallerade i alla webbläsare och operativsystem. Det finns också privata CA:er som företag sätter upp internt för att hantera certifikat inom sitt eget nätverk.

04 — Certifikatkedjan (Chain of Trust)

CA:er är hierarkiska. Längst upp finns en rot-CA (Root CA) — en ytterst betrodd entitet vars certifikat är hårdkodade in i operativsystem och webbläsare. Under den finns mellannivå-CA:er (Intermediate CA) som i sin tur signerar de certifikat som webbplatser använder. Denna kedja kallas chain of trust.

05 — TLS/SSL

TLS (Transport Layer Security, föregångaren kallades SSL) är protokollet som använder PKI för att skapa krypterade anslutningar — det som gör att webbadresser börjar med https:// och hänglåset visas. TLS ser till att kommunikationen är krypterad och att du pratar med rätt server.

06 — Certifikatåterkallelse (Revocation)

Vad händer om en servers privata nyckel stjäls? Då måste certifikatet återkallas omedelbart. Detta sköts via CRL (Certificate Revocation List) eller OCSP — system som webbläsare kan fråga för att kontrollera om ett certifikat fortfarande är giltigt, eller om det dragits in i förtid.

"Hänglåset i webbläsaren är inte ett löfte om att en webbplats är seriös — det är ett bevis på att kommunikationen är krypterad och att webbplatsen är den den utger sig för att vara."
Hur fungerar det i praktiken?
Vad händer när du besöker en https-sida

Du skriver in https://din-bank.se i webbläsaren. Vad händer?

1. Din webbläsare ansluter till banken och ber om dess certifikat.

2. Banken skickar sitt certifikat — signerat av en CA som din webbläsare litar på.

3. Din webbläsare verifierar signaturen och kontrollerar att certifikatet inte har löpt ut eller återkallats.

4. Om allt stämmer — hänglåset visas och en krypterad tunnel upprättas med bankens publika nyckel.

5. All kommunikation krypteras. Även om någon avlyssnar trafiken ser de bara obegripligt brus.

💡 Hela denna process sker på millisekunder, varje gång du besöker en https-sida. PKI jobbar osynligt i bakgrunden för att hålla dig säker.
PKI i företagsnätverket
Intern CA och Active Directory Certificate Services

Stora företag sätter ofta upp en intern CA — en privat certifikatutfärdare som hanterar certifikat inom organisationen. I Windows-världen kallas detta Active Directory Certificate Services (AD CS) och integrerar naturligtvis med Active Directory.

Med en intern CA kan företaget utfärda certifikat för interna servrar, kryptera intern kommunikation, autentisera datorer och användare med certifikat istället för lösenord, och hantera certifikat för VPN-anslutningar.

Den interna CA:ns rot-certifikat distribueras automatiskt till alla datorer i domänen via — du gissade rätt — Group Policy. Det är därför interna webbplatser på jobbet visar hänglåset trots att de inte är publika, men samma sida på en privat dator utanför nätverket ger en varning.

⚠️ En intern CA är ett kritiskt system. Om rot-certifikatet komprometteras kan angriparen utfärda falska certifikat för valfri intern tjänst. Rot-CA:n bör vara offline och låst i ett säkert skåp när den inte används aktivt.
Varför ser du ibland certifikatvarningar på jobbet?
Tre vanliga orsaker

1. Certifikatet har löpt ut. Certifikat har en giltighetstid — ofta 1–2 år. Ingen har förnyat det i tid.

2. Certifikatet är utfärdat av en intern CA som din enhet inte litar på. En privat dator utanför domänen känner inte till företagets interna CA och visar därför en varning för interna tjänster.

3. Du är på ett nätverk som inspekterar TLS-trafik. Vissa företag använder säkerhetsutrustning som "bryter upp" krypterad trafik för att söka efter skadlig kod. Det skapar ett nytt certifikat i farten — och om enheten inte litar på den utrustningens CA visas en varning.

💡 En certifikatvarning är alltid värd att ta på allvar. Klicka inte vidare automatiskt — kontrollera vad som är fel. Det kan vara ett utgånget certifikat, men det kan också vara ett tecken på en aktiv attack.

// Sammanfattning — PKI och certifikat

  • PKI är systemet av förtroende som gör krypterad kommunikation på internet möjlig
  • Certifikat är digitala id-handlingar utfärdade av betrodda Certificate Authorities
  • TLS/HTTPS använder certifikat för att kryptera trafik och verifiera identiteter
  • Hänglåset = kommunikationen är krypterad, inte att sajten är "säker" i allmän mening
  • Företag kör egna interna CA:er (AD CS) för att hantera certifikat internt
  • Intern CA distribueras till domändatorer via Group Policy automatiskt

PKI är ryggraden i digital tillit. Det är systemet som avgör vem du kan lita på online — och som gör det möjligt att skicka känslig information över ett öppet nätverk utan att oroa sig för avlyssning. Nästa gång du ser hänglåset i webbläsaren vet du exakt vad som händer bakom kulisserna.