그래서 DigiCert에서 인증서를 구입했습니다. 프로세스는 다음과 같습니다.
- 웹 서버에서 개인 키 및 CSR을 생성합니다.
- DigiCert에 CSR을 제출합니다.
- 서명 된 인증서를 다음으로 다시 가져옵니다. 루트 인증서 및 중간 인증서 (CA-BUNDLE).
- cPanel, Plesk, w \ e를 통해 인증서와 CA-BUNDLE을 웹 서버에 업로드합니다.
제 질문은 간단하게 CA-BUNDLE의 목적이 무엇입니까?
인증서가 DigiCert의 루트 CA가 서명 한 DigiCert 중간 CA가 서명합니다. 모든 브라우저는 본질적으로 DigiCert를 신뢰합니다 (그리고 “중간 CA라고 가정합니까?). 실제 RSA 암호화 및 AES 키 교환은 내 인증서의 값을 사용하여 수행됩니다. 실제로 웹 서버는 “CA 번들에있는 인증서를 어떤 용도로도 사용하지 않습니다.
이렇게 말하면 무엇을 “그것의 요점입니까? 왜 업로드해야합니까? 내가 볼 수있는 유일한 것은 클라이언트에 “중간 인증서 중 하나가 설치되어 있지 않으면 내 웹 서버에 요청할 수 있으며 브라우저 내 DigiCert 루트에 대해 확인할 수 있습니까?”입니다.
답변
모든 브라우저는 본질적으로 DigiCert를 신뢰합니다.
충분합니다.
(그리고 중간 CA라고 가정합니까?)
클라이언트는 신뢰할 수있는 중간 인증서를 포함 할 수 있지만 예상 할 수 없습니다 . 루트 ( RFC 5246 7.4.2 )까지 인증서 체인의 유효성을 검사하는 데 필요한 중간 인증서를 제공하는 것은 서버입니다.
certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case. 클라이언트에 중간 인증서 중 하나가 설치되어 있지 않으면 클라이언트가 내 웹 서버에 요청 (브라우저 내 DigiCert 루트에 대해 확인) 하시겠습니까?
맞습니다. 그게 바로 그 이유입니다.