Чем самозаверяющий сертификат отличается от запроса на подпись сертификата?

Question

Чем самозаверяющий сертификат отличается от запроса на подпись сертификата?

Со страницы вики для запроса подписи сертификата:

В системах инфраструктуры открытых ключей (PKI) запрос на подпись сертификата (также CSR или запрос на сертификацию) представляет собой сообщение, отправленное заявителем в центр сертификации для подачи заявки на сертификат цифровой идентификации.

Со страницы вики для Самозаверяющего сертификата:

В криптографии и компьютерной безопасности самоподписанный сертификат - это сертификат личности, который подписан тем же лицом, чью личность он сертифицирует. Этот термин не имеет ничего общего с личностью человека или организации, которая фактически выполнила процедуру подписания. С технической точки зрения самозаверяющий сертификат - это тот, который подписан своим собственным закрытым ключом.

Похоже, что вы бы отправили CSR в CA, чтобы получить сертификат цифровой идентификации. Этот сертификат цифровой идентификации потенциально может иметь тот же формат, что и самозаверяющий сертификат (например, формат Стандартов криптографии с открытым ключом 12).

Основное различие заключается в том, что самоподписанный сертификат подписывается той же стороной, которая владеет закрытым ключом, а сертификат цифровой идентификации, возвращаемый центром сертификации при получении запроса на подпись сертификата, подписывается с использованием личного ключа центра сертификации.

Поэтому самоподписанный сертификат гарантированно будет работать для шифрования, но не для идентификации, в то время как сертификат цифровой идентификации от центра сертификации гарантированно будет работать для шифрования и идентификации.

Это правильно? Хотелось бы уточнить с помощью примеров.

1

ssl-certificate openssl certificate-authority self-signed-certificate cryptography

Источник

mbigras 16 мар '17 в 21:05

3 ответа

Другие вопросы по тегам ssl-certificate openssl certificate-authority self-signed-certificate cryptography

Zoredache 16 мар '17 в 21:22 2017-03-16 21:22 · Answer 1 · 2017-03-16 21:22

самозаверяющий сертификат подписывается той же стороной, которая владеет закрытым ключом, а сертификат цифровой идентификации, возвращаемый центром сертификации при получении запроса на подпись сертификата, подписывается с использованием личного ключа центра сертификации.

Это правильно.

Поэтому самоподписанный сертификат гарантированно будет работать для шифрования, но не для идентификации, в то время как сертификат цифровой идентификации от центра сертификации гарантированно будет работать для шифрования и идентификации.

Это довольно сложно. Сертификат, подписанный ЦС, является доверенным только для идентификации, поскольку ЦС включен в предварительно заполненное хранилище сертификатов, встроенное в браузеры / ОС. Если бы у меня не было предварительно заполненного хранилища сертификатов, ни одному из них нельзя было бы доверять.

Если я скачал и подтвердил сертификат этого самозаверяющего ключа и добавил его в свое хранилище сертификатов, то я мог бы доверять ему во всех целях.

Таким образом, с точки зрения технологии, единственное отличие состоит в том, что ваш самоподписанный сертификат не будет встроен в мой браузер / ОС.

olivierg 16 мар '17 в 21:22 2017-03-16 21:22 · Answer 2 · 2017-03-16 21:22

Ну , пока вы "доверяете" центру сертификации, подписавшему сертификат, вы можете быть уверены, что ситуация безопасна.

и вы обычно делаете это, устанавливая сертификаты CA (подписывающие лица) в вашей среде, чтобы он автоматически распознавал сертификаты, подписанные этим CA, и считал их "доверенными".

(извините, но я пока не могу комментировать, поэтому мне пришлось использовать кнопку ответа)

В качестве конкретного примера, в моей компании у нас есть собственный CA, и у нас есть сертификаты CA, установленные в каждом веб-браузере (будь то IE, firefox и т. д.), когда CA "подписывает" наши SSL-сертификаты (используемые в интрасети)., приложения и т. д. прослушивание SSL/TLS), и мы получаем доступ к этим приложениям, они автоматически распознаются как безопасные, и вам не нужно нажимать на специальный баннер с предупреждением о том, что используемые сертификаты не являются доверенными (поскольку они либо самоподписанный, либо подписанный неизвестным центром сертификации или центром сертификации, которому мы не доверяем)

bob 17 мар '17 в 08:22 2017-03-17 08:22 · Answer 3 · 2017-03-17 08:22

CA - это то, что используется для подписи сертификата, CSR - это запрос, который вы отправляете в CA, чтобы они могли подписать вам сертификат, как правило, без ключа.

Например, вы пошли бы в CA и спросили сертификат, они спросили бы вас, какая информация, и они сгенерировали ключ, и сертификат с CSR, ключ такой же, как они только что сгенерировали новый сертификат. с различными атрибутами, такими как даты действия и т. д.