janvier 31, 2021
Articles
Aucun commentaire

À quoi sert CA-BUNDLE sur un serveur Web?

Jai donc acheté un certificat auprès de DigiCert. Le processus se déroule comme suit:

  • Générez la clé privée et le CSR sur le serveur Web.
  • Soumettez le CSR à DigiCert.
  • Récupérez un certificat signé en tant que ainsi que leur certificat racine et leur certificat intermédiaire (CA-BUNDLE).
  • Téléchargez le certificat et CA-BUNDLE sur le serveur Web via cPanel, Plesk, w \ e.

Ma question est simplement, à quoi sert le CA-BUNDLE?

Mon certificat obtient signé par une autorité de certification intermédiaire DigiCert qui est signée par lautorité de certification racine de DigiCert. Tous les navigateurs font intrinsèquement confiance à DigiCert (et je suppose que cest lautorité de certification intermédiaire?). Le cryptage RSA et léchange de clés AES se font en utilisant les valeurs de mon certificat, en fait, le serveur Web nutilise aucun des certificats du bundle CA pour quoi que ce soit.

Cela dit, quoi « Est-ce que cest le but? et pourquoi dois-je le télécharger? La seule chose que je peux voir, cest que si le client na pas installé un des certificats intermédiaires, il peut le demander à mon serveur Web (et le vérifier par rapport à la racine DigiCert du navigateur)?

Réponse

Tous les navigateurs font intrinsèquement confiance à DigiCert

Cest assez vrai.

(et je suppose que cest une autorité de certification intermédiaire?)

Les clients peuvent inclure des certificats intermédiaires de confiance, mais on ne peut pas sattendre à . Cest votre travail, le serveur, de fournir tous les certificats intermédiaires nécessaires pour valider votre chaîne de certificats jusquà la racine ( RFC 5246 7.4.2 ): 

 certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

La seule chose que je peux voir est que si le client na pas installé lun des certificats intermédiaires, il peut demandez-le à mon serveur Web (et vérifiez-le avec la racine DigiCert du navigateur)?

Correct. Cest exactement la raison.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *