Januar 31, 2021
Articles
Keine Kommentare

Was ist der Zweck des CA-BUNDLE auf einem Webserver?

Ich kaufe also ein Zertifikat von DigiCert. Der Vorgang läuft folgendermaßen ab:

  • Generieren Sie einen privaten Schlüssel und eine CSR auf dem Webserver.
  • Senden Sie die CSR an DigiCert.
  • Erhalten Sie ein signiertes Zertifikat zurück als sowie deren Stammzertifikat und Zwischenzertifikat (CA-BUNDLE).
  • Laden Sie das Zertifikat und CA-BUNDLE über cPanel, Plesk, w \ e.
Meine Frage ist einfach, was ist der Zweck des CA-BUNDLE?

Mein Zertifikat wird abgerufen signiert von einer DigiCert-Zwischenzertifizierungsstelle, die von DigiCerts Stammzertifizierungsstelle signiert ist. Alle Browser vertrauen von Natur aus DigiCert (und ich nehme an, dass es sich um eine Zwischenzertifizierungsstelle handelt?). Die eigentliche RSA-Verschlüsselung und der AES-Schlüsselaustausch werden unter Verwendung der Werte in meinem Zertifikat durchgeführt. Tatsächlich verwendet der Webserver keines der Zertifikate im CA-Bundle für irgendetwas.

Was ist damit gesagt? „Ist der Punkt davon? und warum muss ich es hochladen? Das einzige, was ich sehen kann, ist, wenn der Client kein Zwischenzertifikat installiert hat, kann er meinen Webserver danach fragen (und es anhand des DigiCert-Stamms im Browser überprüfen)?

Antwort

Alle Browser vertrauen DigiCert

Richtig.

(und ich nehme an, es handelt sich um eine Zwischen-CA?)

Clients können vertrauenswürdige Zwischenzertifikate enthalten, von kann jedoch nicht erwartet werden, dass . Es ist Ihre Aufgabe, der Server, alle Zwischenzertifikate bereitzustellen, die zur Validierung Ihrer Zertifikatkette bis zum Stamm erforderlich sind ( RFC 5246 7.4.2 ): 

 certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

Ich kann nur sehen, ob auf dem Client keines der Zwischenzertifikate installiert ist Fragen Sie meinen Webserver danach (und überprüfen Sie ihn anhand des DigiCert-Stamms im Browser).

Richtig. Das ist genau der Grund.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.