Чому потрібні органи проміжних сертифікатів? Коли буде використаний проміжний сертифікат? Як я можу перевірити ланцюжок від проміжного сертифіката до кореневого сертифіката? Які приклади проміжних сертифікатів посилаються на кореневі сертифікати?
Чому потрібні органи проміжних сертифікатів? Коли буде використаний проміжний сертифікат? Як я можу перевірити ланцюжок від проміжного сертифіката до кореневого сертифіката? Які приклади проміжних сертифікатів посилаються на кореневі сертифікати?
Відповіді:
Чому потрібні органи проміжних сертифікатів? Коли буде використаний проміжний сертифікат?
Іноді для захисту приватного ключа кореневого CA він зберігається в дуже захищеному місці і використовується лише для підписання декількох проміжних сертифікатів, які потім використовуються для видачі кінцевих сертифікатів юридичної особи. У разі компромісу проміжні продукти можуть бути відкликані швидко, без необхідності перенастроювати кожну машину для довіри до нового CA.
Інша можлива причина - делегування: наприклад, такі компанії, як Google, які часто використовують багато сертифікатів для власних мереж, матимуть власний проміжний CA.
Як я можу перевірити ланцюжок від проміжного сертифіката до кореневого сертифіката?
Зазвичай кінцева сутність (наприклад, веб-сервер SSL / TLS) надає вам весь ланцюжок сертифікатів, і все, що вам потрібно зробити, це перевірити підписи.
Останнім у цьому ланцюжку є кореневий сертифікат, який ви вже позначили як довірений.
Наприклад, коли у вас є ланцюг [user] → [intermed-1] → [intermed-2] → [root] , перевірка виглядає так:
Чи [користувач] є [intermed-1] своїм "Емітентом"?
Чи має [користувач] дійсний підпис ключем [intermed-1] ?
Чи [intermed-1] є [intermed-2] своїм "Емітентом"?
Чи має [intermed-1] дійсний підпис ключем [intermed-2] ?
Чи [intermed-2] має [root] своїм "Емітентом"?
Чи має [intermed-2] дійсний підпис ключем [root] ?
Оскільки [root] знаходиться внизу ланцюга і має себе як "Емітент", чи позначений він як довірений?
Процес весь час однаковий; існування та кількість проміжних СА не мають значення. Сертифікат користувача можна підписати коренем безпосередньо, і він буде перевірений так само.
Які приклади проміжних сертифікатів посилаються на кореневі сертифікати?
Дивіться інформацію про сертифікати https://twitter.com/ або https://www.facebook.com/ для ланцюгів, що містять три-чотири сертифікати. Дивіться також https://www.google.com/ для прикладу власного сертифікаційного органу Google.