31 ledna, 2021
Articles
Žádné komentáře

Jaký je účel CA-BUNDLE na webovém serveru?

Koupím si tedy certifikát od společnosti DigiCert. Proces probíhá takto:

  • Vytvořit soukromý klíč a CSR na webovém serveru.
  • Odeslat CSR na DigiCert.
  • Získat podepsaný certifikát zpět jako stejně jako jejich kořenový certifikát a zprostředkující certifikát (CA-BUNDLE).
  • Nahrajte certifikát a CA-BUNDLE na webový server přes cPanel, Plesk, w \ e.

Moje otázka je jednoduše, jaký je účel CA-BUNDLE?

Můj certifikát získá podepsán zprostředkujícím CA DigiCert, který je podepsán kořenovým CA DigiCert. Všechny prohlížeče neodmyslitelně důvěřují DigiCert (a předpokládám, že je to zprostředkující CA?). Skutečné šifrování RSA a výměna klíčů AES se provádí pomocí hodnot v mém certifikátu, ve skutečnosti webový server nepoužívá žádný z certifikátů v balíčku CA pro cokoli.

S tím, co bylo řečeno, co „To má smysl? a proč to musím nahrát? Jediné, co vidím, je, že pokud klient nemá nainstalován některý z přechodných certifikátů, může o to požádat můj webový server (a ověřit jej pomocí kořenového adresáře DigiCert)?

Odpověď

Všechny prohlížeče neodmyslitelně důvěřují DigiCertu

Dostatečně pravdivé.

(a předpokládám, že jde o zprostředkující CA?)

Klienti mohou zahrnovat důvěryhodné zprostředkující certifikáty, ale nelze očekávat . Je vaší úlohou, serverem, poskytnout jakékoli zprostředkující certifikáty nezbytné k ověření vašeho řetězce certifikátů až do kořenového adresáře ( RFC 5246 7.4.2 ): 

 certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

Jediné, co vidím, je, pokud klient nemá nainstalován některý z přechodných certifikátů. požádat o to můj webový server (a ověřit jej pomocí kořenového adresáře DigiCert v prohlížeči)?

Správně. To je přesně ten důvod.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *