स्व-हस्ताक्षरित सीए और स्व-हस्ताक्षरित प्रमाण पत्र के बीच अंतर


81

मैं CA कुंजी और प्रमाणपत्र के बीच अंतर पर स्पष्ट नहीं हूं। क्या CA कुंजी केवल एक प्रमाणपत्र नहीं है? मुझे एक उदाहरण के साथ प्रयास करने और स्पष्ट करने दें।

मेरे पास एक क्लाइंट और एक सर्वर है। मैं केवल अपने सर्वर से अपने कनेक्शन को मान्य करने की कोशिश कर रहा हूं और दूसरों पर विश्वास स्थापित करने की कोशिश नहीं कर रहा हूं, इसलिए मुझे वास्तविक सीए के साथ हस्ताक्षर करने की परवाह नहीं है।

विकल्प 1: एक स्व-हस्ताक्षरित CA ( ssCA ) बनाएं और प्रमाणपत्र ( C ) पर हस्ताक्षर करने के लिए इसका उपयोग करें । फिर मैं अपने क्लाइंट पर रूट कीस्टोर में ssCA स्थापित करता हूं और प्रमाणपत्र C का उपयोग करने के लिए अपने सर्वर को सेटअप करता हूं ।

विकल्प 2: एक स्व-हस्ताक्षरित प्रमाणपत्र ( एसएससी ) बनाएंSSC को अपने क्लाइंट पर रूट कीस्टोर में स्थापित करें । प्रमाणपत्र एसएससी का उपयोग करने के लिए मेरा सर्वर सेटअप करें ।

दूसरा विकल्प बहुत सरल प्रक्रिया जैसा लगता है। कि अभी भी काम करना चाहिए?

जवाबों:


62

दोनों विकल्प मान्य हैं, विकल्प 2 सरल है।

विकल्प 1 (अपने स्वयं के सीए की स्थापना) बेहतर है जब आपको कई प्रमाणपत्रों की आवश्यकता होती है। एक कंपनी में आप अपना स्वयं का CA सेट कर सकते हैं और उस CA के प्रमाणपत्र को सभी क्लाइंट के रूट कीस्टोर में स्थापित कर सकते हैं। फिर वे ग्राहक आपके CA द्वारा हस्ताक्षरित सभी प्रमाणपत्रों को स्वीकार करेंगे।

विकल्प 2 (सीए के बिना एक प्रमाण पत्र पर हस्ताक्षर करना) आसान है। यदि आपको केवल एक प्रमाण पत्र की आवश्यकता है, तो यह पर्याप्त है। इसे अपने ग्राहकों के कीस्टोर्स में स्थापित करें और आप कर रहे हैं। लेकिन जब आपको दूसरे प्रमाणपत्र की आवश्यकता होती है, तो आपको सभी क्लाइंट पर फिर से इंस्टॉल करने की आवश्यकता होती है।

यहाँ आगे की जानकारी के साथ एक लिंक दिया गया है: प्रमाणपत्र प्राधिकारी और स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र बनाना


यदि कोई CA प्रमाण पत्र पर हस्ताक्षर करता है, तो क्या मैं अभी भी व्यक्तिगत रूप से उत्पन्न प्रमाण ( इस मामले में C ) पर भरोसा कर सकता हूं , यह जानते हुए कि मुझे केवल CA से आने वाले एक प्रमाण पत्र के बजाय, प्रत्येक प्रमाणित जनमत पर भरोसा करने की आवश्यकता होगी?
ivandov

65

पहले, कुंजी और प्रमाण पत्र के बीच के अंतर के बारे में ("सीए कुंजी" के बारे में), सार्वजनिक कुंजी प्रमाणपत्र (आमतौर पर X.509) के बारे में बात करते समय उपयोग किए जाने वाले 3 टुकड़े होते हैं: सार्वजनिक कुंजी, निजी कुंजी और प्रमाण पत्र। सार्वजनिक कुंजी और निजी कुंजी एक जोड़ी बनाते हैं। आप निजी कुंजी के साथ हस्ताक्षर और डिक्रिप्ट कर सकते हैं, आप सार्वजनिक कुंजी के साथ सत्यापन (हस्ताक्षर) और एन्क्रिप्ट कर सकते हैं। सार्वजनिक कुंजी को वितरित करने का इरादा है, जबकि निजी कुंजी को निजी रखा जाना है।

एक सार्वजनिक-कुंजी प्रमाणपत्र एक सार्वजनिक कुंजी और सूचना के विभिन्न टुकड़ों के बीच संयोजन है (ज्यादातर मुख्य जोड़ी के मालिक की पहचान के बारे में, जो भी निजी कुंजी को नियंत्रित करता है), इस संयोजन को जारीकर्ता की निजी कुंजी का उपयोग करके हस्ताक्षरित किया जा रहा है प्रमाण पत्र। X.509 प्रमाणपत्र में एक विषय विशिष्ट नाम और एक जारीकर्ता प्रतिष्ठित नाम होता है। जारीकर्ता नाम प्रमाण पत्र जारी करने वाली संस्था के प्रमाण पत्र का विषय नाम है। स्व-हस्ताक्षरित प्रमाण पत्र एक विशेष मामला है जहां जारीकर्ता और विषय समान हैं। एक प्रमाण पत्र की सामग्री (अर्थात प्रमाण पत्र जारी करना) पर हस्ताक्षर करके, जारीकर्ता अपनी सामग्री का दावा करता है, विशेष रूप से, कुंजी, पहचान (विषय) और विभिन्न विशेषताओं (जो इरादे या उपयोग के लिए गुंजाइश का संकेत हो सकता है) के बीच बाध्यकारी है। प्रमाण पत्र)।

इसके शीर्ष पर, PKIX विनिर्देश एक एक्सटेंशन (किसी दिए गए प्रमाणपत्र का हिस्सा) को परिभाषित करता है जो इंगित करता है कि क्या प्रमाण पत्र को CA प्रमाण पत्र के रूप में इस्तेमाल किया जा सकता है, अर्थात, क्या इसे दूसरे प्रमाण पत्र के लिए जारीकर्ता के रूप में उपयोग किया जा सकता है।

इसमें से, आप अंतिम-इकाई प्रमाणपत्र (जो आप सत्यापित करना चाहते हैं, एक उपयोगकर्ता या सर्वर के लिए) और आपके द्वारा विश्वास किए जाने वाले CA प्रमाणपत्र के बीच प्रमाणपत्रों की एक श्रृंखला बनाते हैं। आपकी सेवा के अंतिम-इकाई प्रमाणपत्र और आपके द्वारा भरोसा किए गए CA प्रमाणपत्र के बीच मध्यवर्ती CA प्रमाणपत्र (अन्य CA प्रमाण पत्र द्वारा जारी) हो सकते हैं। आपको शीर्ष पर एक मूल CA की आवश्यकता नहीं है (एक स्व-हस्ताक्षरित CA प्रमाणपत्र), लेकिन अक्सर ऐसा होता है (यदि आप चाहें तो सीधे एक मध्यवर्ती CA प्रमाणपत्र पर भरोसा करना चुन सकते हैं)।

अपने उपयोग के मामले के लिए, यदि आप किसी विशिष्ट सेवा के लिए स्व-हस्ताक्षरित प्रमाण पत्र उत्पन्न करते हैं, चाहे उसमें सीए ध्वज हो (मूल बाधा विस्तार) वास्तव में मायने नहीं रखता है। आपको अन्य प्रमाणपत्र जारी करने में सक्षम होने के लिए सीए प्रमाणपत्र होने की आवश्यकता होगी (यदि आप अपना पीकेआई बनाना चाहते हैं)। यदि आप इस सेवा के लिए जो प्रमाण पत्र बनाते हैं वह एक CA प्रमाणपत्र है, तो इसे कोई नुकसान नहीं होना चाहिए। इससे अधिक महत्वपूर्ण बात यह है कि जिस तरह से आप अपने क्लाइंट को इस विशेष सर्वर के लिए प्रमाण पत्र पर भरोसा करने के लिए कॉन्फ़िगर कर सकते हैं (ब्राउज़रों को आपको उदाहरण के लिए एक स्पष्ट अपवाद को आसानी से बनाने देना चाहिए)। यदि कॉन्फ़िगरेशन तंत्र एक PKI मॉडल (विशिष्ट अपवादों का उपयोग किए बिना) का अनुसरण करता है, क्योंकि एक श्रृंखला (सिर्फ एक प्रमाण पत्र के साथ) बनाने की आवश्यकता नहीं होगी, तो आपको सीधे विश्वास लंगर के भाग के रूप में प्रमाण पत्र आयात करने में सक्षम होना चाहिए आपका ग्राहक, चाहे वह '


1
सूचना के लिए धन्यवाद। मैं हेल्ग को सही उत्तर देने जा रहा हूं क्योंकि यह जल्द ही आ गया था और वह दुखी था। हालाँकि, यह जानना अच्छा था।
पेस

8

आप openssl x509 -noout -text -in $YOUR_CERTफ़ाइलों की सामग्री के बीच अंतर देख सकते हैं:

अपने स्व-हस्ताक्षरित CA में, आप CA देख सकते हैं

    X509v3 extensions:                                                          
        X509v3 Basic Constraints:
            CA:TRUE, pathlen:0

और आपके स्व-हस्ताक्षरित प्रमाण पत्र में, यह है:

    X509v3 extensions:                                                          
        X509v3 Basic Constraints:
            CA:FALSE

0

आपके पास हमेशा एक रूट सीए होना चाहिए, सीए के पास एक कुंजी है जिसका उपयोग निचले स्तर के प्रमाण पत्र और रूट प्रमाणपत्र पर हस्ताक्षर करने के लिए किया जा सकता है जिसे क्लाइंट पर स्वीकार किए गए रूट प्रमाणपत्रों में एम्बेड किया जा सकता है और उन्हें जांचने के लिए निचले प्रमाणपत्रों को सत्यापित करने के लिए उपयोग किया जाता है। वैध हैं। स्वयं हस्ताक्षरित का मतलब है कि आप अपने स्वयं के सीए हैं। जब भी आप एक स्व-हस्ताक्षरित प्रमाण पत्र बनाते हैं तो आप एक सीए बनाते हैं, फिर उस सीए के साथ एक साइट प्रमाणपत्र पर हस्ताक्षर करें।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.