Kupuję więc certyfikat od DigiCert. Proces przebiega następująco:
- Wygeneruj klucz prywatny i CSR na serwerze internetowym.
- Prześlij CSR do DigiCert.
- Odzyskaj podpisany certyfikat jako wraz z certyfikatem głównym i certyfikatem pośrednim (CA-BUNDLE).
- Prześlij certyfikat i pakiet CA-BUNDLE na serwer WWW za pośrednictwem cPanel, Plesk, w \ e.
Moje pytanie brzmi po prostu, jaki jest cel CA-BUNDLE?
Mój certyfikat otrzymuje podpisany przez urząd certyfikacji DigiCert Intermediate podpisany przez główny urząd certyfikacji DigiCert. Wszystkie przeglądarki z natury ufają DigiCert (i zakładam, że jest to pośredni urząd certyfikacji?). Rzeczywiste szyfrowanie RSA i wymiana kluczy AES odbywa się przy użyciu wartości w moim certyfikacie, w rzeczywistości serwer sieciowy nie używa żadnych certyfikatów w pakiecie CA do niczego.
Biorąc to pod uwagę, co? o to chodzi? i dlaczego muszę to przesłać? Jedyne, co widzę, to to, że jeśli klient nie ma zainstalowanego jednego z certyfikatów pośrednich, może poprosić o niego mój serwer sieciowy (i zweryfikować go z katalogiem głównym DigiCert w przeglądarce)?
Odpowiedz
Wszystkie przeglądarki z natury ufają DigiCert
Prawda.
(i zakładam, że jest to pośredni CA?)
Klienci mogą zawierać zaufane certyfikaty pośrednie, ale nie można się tego spodziewać . Twoim zadaniem, czyli serwerem, jest dostarczenie wszelkich certyfikatów pośrednich niezbędnych do sprawdzenia łańcucha certyfikatów aż do katalogu głównego ( RFC 5246 7.4.2 ):
certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.
Jedyne, co widzę, to jeśli klient nie ma zainstalowanego jednego z certyfikatów pośrednich, może zapytać o to mój serwer WWW (i zweryfikować go z katalogiem głównym DigiCert w przeglądarce)?
Dobrze. To jest właśnie powód.