Så jeg køber et certifikat fra DigiCert. Processen går således:
- Generer privat nøgle og CSR på webserver.
- Send CSR til DigiCert.
- Få et underskrevet certifikat tilbage som samt deres rodcertifikat og mellemcertifikat (CA-BUNDLE).
- Upload certifikatet og CA-BUNDLE til webserveren via cPanel, Plesk, w \ e.
Mit spørgsmål er simpelthen, hvad er formålet med CA-BUNDLE?
Mit certifikat får underskrevet af en DigiCert Intermediate CA, som er underskrevet af DigiCerts root CA. Alle browsere har i sig selv tillid til DigiCert (og jeg antager, at det er mellemliggende CA?). Den faktiske RSA-kryptering og AES-nøgleudveksling sker ved hjælp af værdierne i mit certifikat, faktisk bruger webserveren ikke nogen af certifikaterne i CA-pakken til noget.
Når det er sagt, hvad er pointen med det? og hvorfor skal jeg uploade det? Det eneste, jeg kan se, er, at hvis klienten ikke har et af de mellemliggende certifikater installeret, kan den bede min webserver om det (og kontrollere det i DigiCert-rodens browser)?
Svar
Alle browsere stoler i sig selv på DigiCert
Sandt nok.
(og jeg antager, at det er mellemliggende CA?)
Klienter kan omfatte pålidelige mellemliggende certer, men kan ikke forventes at . Det er dit job, serveren, at levere de mellemliggende certifikater, der er nødvendige for at validere din certifikatkæde op til roden ( RFC 5246 7.4.2 ):
certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case. Det eneste jeg kan se er, hvis klienten ikke har et af de mellemliggende certifikater, den kan bede min webserver om den (og bekræft den mod DigiCert-rod i browseren)?
Korrekt. Det er nøjagtigt grunden.