そこで、DigiCertから証明書を購入します。プロセスは次のようになります。
- Webサーバーで秘密鍵とCSRを生成します。
- DigiCertにCSRを送信します。
- 署名された証明書を次のように取得します。ルート証明書と中間証明書(CA-BUNDLE)も同様です。
- cPanel、Plesk、w \ eを介して証明書とCA-BUNDLEをWebサーバーにアップロードします。
私の質問は、CA-BUNDLEの目的は何ですか?
証明書はDigiCertのルートCAによって署名されたDigiCert中間CAによって署名されています。すべてのブラウザは本質的にDigiCertを信頼しています(そして私はそれが中間CAだと思いますか?)。実際のRSA暗号化とAESキー交換は、証明書の値を使用して行われます。実際、WebサーバーはCAバンドル内の証明書を何にも使用しません。
そうは言っても、何を「それのポイントは?なぜアップロードする必要があるのですか?私が見ることができる唯一のことは、クライアントに中間証明書の1つがインストールされていない場合、Webサーバーに要求できる(そしてブラウザー内のDigiCertルートに対して検証できる)かどうかです。
回答
すべてのブラウザは本質的にDigiCertを信頼します
十分に真実です。
(そして私はそれが中間CAだと思いますか?)
クライアントには、信頼できる中間証明書が含まれている場合がありますが、期待できません。ルート( RFC 5246 7.4.2 )までの証明書チェーンを検証するために必要な中間証明書を提供するのはサーバーであるあなたの仕事です:
certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case. 私が見ることができるのは、クライアントに中間証明書の1つがインストールされていないかどうかだけです。 Webサーバーに要求します(そしてブラウザー内のDigiCertルートに対して検証します)?
正解です。それがまさに理由です。