Deci achiziționez un certificat de la DigiCert. Procesul merge astfel:
- Generați cheie privată și CSR pe serverul web.
- Trimiteți CSR la DigiCert.
- Obțineți un certificat semnat înapoi ca precum și certificatul rădăcină și certificatul intermediar (CA-BUNDLE).
- Încărcați certificatul și CA-BUNDLE pe serverul web prin cPanel, Plesk, w \ e.
Întrebarea mea este pur și simplu, care este scopul CA-BUNDLE?
Certificatul meu primește semnat de un CA intermediar DigiCert care este semnat de CA rădăcină DigiCert. Toate browserele au în mod inerent încredere în DigiCert (și presupun că este CA intermediar?). Criptarea RSA reală și schimbul de chei AES se face folosind valorile din certificatul meu, de fapt serverul web nu folosește niciunul dintre certificatele din pachetul CA pentru nimic.
Cu toate acestea, ce Ce rost are? și de ce trebuie să-l încarc? Singurul lucru pe care îl văd este că, dacă clientul nu are instalat unul dintre certificatele intermediare, îl poate solicita pe serverul meu web (și îl poate verifica împotriva rădăcinii DigiCert din browser)?
Răspuns
Toate browserele au în mod inerent încredere în DigiCert
Destul de adevărat.
(și presupun că este CA intermediară?)
Clienții pot include certificate intermediare de încredere, dar nu se poate aștepta să . Este de datoria dvs., serverul, să furnizați toate certificatele intermediare necesare pentru validarea lanțului de certificate până la rădăcină ( RFC 5246 7.4.2 ):
certificate_list This is a sequence (chain) of certificates. The sender"s certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.
Singurul lucru pe care îl pot vedea este dacă clientul nu are instalat unul dintre certificatele intermediare, poate solicitați-l serverului meu web (și verificați-l împotriva rădăcinii DigiCert din browser)?
Corect. Acesta este exact motivul.