tammikuu 31, 2021
Articles
Ei kommentteja

Mikä on CA-PAKETIN tarkoitus verkkopalvelimessa?

Joten ostan varmenteen DigiCertiltä. Prosessi sujuu näin:

  • Luo yksityinen avain ja CSR verkkopalvelimelle.
  • Lähetä CSR DigiCertille.
  • Hanki allekirjoitettu varmenne takaisin nimellä sekä heidän juurivarmenteensa ja välivarmenteensa (CA-BUNDLE).
  • Lataa varmenne ja CA-BUNDLE verkkopalvelimeen cPanel, Plesk, w \ e: n kautta.

Kysymykseni on yksinkertaisesti, mikä on CA-PAKETIN tarkoitus?

Varmenteeni saa allekirjoittanut DigiCert Intermediate CA, jonka on allekirjoittanut DigiCertin juurivarmentaja. Kaikki selaimet luottamuksellisesti luottavat DigiCertiin (ja oletan sen olevan välitön CA). Varsinainen RSA-salaus ja AES-avainten vaihto tapahtuu käyttämällä varmenteeni arvoja. Itse asiassa web-palvelin ei käytä mitään varmenteita CA-paketissa mihinkään.

Kun sanotaan, mitä ”sen tarkoitus? ja miksi minun on ladattava se? Ainoa asia, jonka näen, on, että jos asiakkaalla ei ole asennettuna yhtä välivarmenteista, se voi pyytää sitä web-palvelimeltani (ja tarkistaa sen selaimen sisäisen DigiCert-juuren perusteella)?

Vastaa

Kaikki selaimet luontaisesti luottavat DigiCertiin

Tarpeeksi totta.

(ja oletan sen olevan välitön varmentaja?)

Asiakkaat voivat sisällyttää luotettavia välitodistuksia, mutta ei voida odottaa . Sinun tehtäväsi, palvelin, on tarjota kaikki tarvittavat välivarmenteet varmenteketjun vahvistamiseksi juurihakemistoon asti ( RFC 5246 7.4.2 ): 

 certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

Ainoa asia, jonka näen on, jos asiakkaalla ei ole asennettuna yhtä välivarmenteista, se voi kysy sitä web-palvelimeltani (ja tarkista se selaimen sisäisen DigiCert-juuren suhteen)?

Oikein. Se on täsmälleen syy.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *