január 31, 2021
Articles
Nincs hozzászólás

Mi a CA-BUNDLE célja egy webszerveren?

Tehát vásárolok egy tanúsítványt a DigiCert-től. A folyamat a következő:

  • Saját kulcs és CSR generálása a webszerveren.
  • CSR beküldése a DigiCert-be.
  • Aláírt tanúsítvány visszakeresése valamint a gyökértanúsítványuk és a köztes tanúsítványuk (CA-BUNDLE).
  • Töltse fel a tanúsítványt és a CA-BUNDLE-t a webszerverre a cPanel, Plesk, w \ e útján.

A kérdésem egyszerűen az, hogy mi a CA-BUNDLE célja?

A tanúsítványom megkapja egy DigiCert Intermediate CA által aláírt, amelyet a DigiCert root CA ír alá. Minden böngésző eredendően megbízik a DigiCertben (és feltételezem, hogy ez a köztes CA?). A tényleges RSA titkosítást és az AES kulcscserét a tanúsítványomban szereplő értékek felhasználásával hajtják végre, valójában a webszerver semmire sem használja a CA csomag egyik tanúsítványát.

Ennek ellenére mi van a lényeg? és miért kell feltöltenem? Az egyetlen dolog, amit látok, ha az ügyfélnek nincs telepítve a köztes tanúsítványok egyike, akkor megkérheti a webszerveremtől (és ellenőrizheti a böngészőben lévő DigiCert gyökérrel szemben)?

Válasz

Minden böngésző eredendően megbízik a DigiCertben

Elég igaz.

(és feltételezem, hogy köztes CA?)

Az ügyfelek tartalmazhatnak megbízható köztes tanúsítványokat, de nem várható el tőlük . Az Ön feladata, a kiszolgáló, hogy megadjon minden szükséges köztes tanúsítványt, amely a tanúsítványlánc érvényesítéséhez szükséges a gyökérig ( RFC 5246 7.4.2 ): 

 certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

Az egyetlen dolog, amit látok, ha az ügyfélnek nincs telepítve az egyik köztes tanúsítvány, kérje meg a webszerveremtől (és ellenőrizze a böngészőben lévő DigiCert gyökérhez képest)?

Helyes. Pontosan ez az oka.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük