क्या इसकी मूल सीए पर भरोसा किए बिना, खिड़कियों में एक प्रमाण पत्र पर भरोसा करना संभव है?

क्या एक प्रमाण पत्र पर भरोसा करने के लिए विंडोज़ प्राप्त करना संभव है, बिना रूट सीए को विश्वसनीय रूट सीए पर भरोसा करने के लिए?

मैं निम्नलिखित प्रमाण पत्र श्रृंखला है,

Dept-Root-CA
Dept-Intermediate-1
Server-Certificate

मैं सर्वर-सर्टिफिकेट पर भरोसा करना चाहता हूं, लेकिन Dept-Root-CA पर भरोसा नहीं करना चाहता क्योंकि तब यह किसी भी सर्टिफिकेट पर हस्ताक्षर कर सकता था और मेरे सर्वर इस पर भरोसा करेंगे। सिर्फ इसलिए कि मैं एक विशिष्ट ऑपरेशन के लिए सर्टिफिकेट पर सर्टिफिकेट पर भरोसा करने के लिए तैयार हूं, इसका मतलब यह नहीं है कि मैं यह विश्वास करने को तैयार हूं कि डिप्टी-रूट-सीए को ठीक से सुरक्षित किया गया है।

धन्यवाद

windows ssl

— bkr
स्रोत

क्या आप वास्तव में इसके लिए भरोसा करना चाहते हैं? HTTPS? या कोई और बात? यह संकेत देने के तरीके हैं कि आप किसी भी प्रमाणपत्र को रूट CA से कुछ और स्वीकार किए बिना स्वीकार करना चाहते हैं, लेकिन यह इस बात पर निर्भर करता है कि आप क्या कर रहे हैं। (आप अभी भी त्रुटियां मिलेंगी यदि आप प्रमाणपत्र हालांकि मान्य करने के लिए कोशिश)

— मार्क हेंडरसन

अनिवार्य रूप से हाँ। यदि यह कस्टम कोड था, तो यह एक मुद्दा नहीं होगा - लेकिन यह ADFS 2 का उपयोग कर रहा है और केवल एक चीज जो मैं कर सकता हूं कि यह कैसे प्रमाण पत्र का व्यवहार करता है यह परिवर्तन है कि सर्वर उस प्रमाण पत्र पर कैसे भरोसा करता है। अन्य मामले भी हैं, लेकिन यह सिर्फ वर्तमान उदाहरण है।

— बीकेआर

जवाबों:

नहीं। जब तक प्रमाण पत्र कहता है "द्वारा जारी किया गया: xxx" तब आपको xxx पर भी भरोसा करना चाहिए, सभी तरह से श्रृंखला। यदि यह एक स्व-हस्ताक्षरित प्रमाण पत्र है, तो आप इसे ट्रस्टेड रूट सीए स्टोर में रख सकते हैं, और चूंकि यह एक ही इकाई द्वारा जारी और जारी किया जाता है, इसलिए उस पर भरोसा किया जाना चाहिए।

लेकिन नहीं, यह आमतौर पर सर्टिफिकेट-आधारित सुरक्षा के पूरे उद्देश्य को पूरी तरह से दरकिनार करने में सक्षम या अदृश्य नहीं है।

— रयान रीस
स्रोत

मुझे उससे डर है। हालांकि मैं इसे दरकिनार नहीं कहूंगा। सिर्फ इसलिए कि मैं एक अलग संगठनात्मक समूह में मशीन से बात करने के लिए एक सुरक्षित चैनल चाहता हूं इसका मतलब यह नहीं है कि मैं उनके सीए पर भरोसा करना चाहता हूं।

— बीकेआर

सही ... लेकिन सीए ने उस प्रमाणपत्र पर हस्ताक्षर किए, और उस सीए के बिना दूसरे छोर पर सिर्फ अपना प्रमाणपत्र बदल सकते हैं।

— SpacemanSpiff

मुझे यकीन नहीं है कि मैं समझ रहा हूं कि आप क्या कह रहे हैं। मैं उनके प्रमाण पत्र पर स्पष्ट रूप से भरोसा करना चाहता हूं। यदि इसे बदल दिया गया, तो मैं फिर से स्पष्ट रूप से इस पर भरोसा करना चाहता हूं। मैं मूल रूप से प्रमाणपत्र ट्रस्ट का मॉडल चाहता हूं जैसे फ़ायरफ़ॉक्स में है। फ़ायरफ़ॉक्स में, यदि प्रमाणपत्र मौजूदा विश्वसनीय सीए के तहत मान्य नहीं है, तो आप वैसे भी इस पर भरोसा कर सकते हैं - यदि यह बदलता है, तो आपको नए प्रमाणपत्र पर भरोसा करना होगा, क्योंकि यह स्पष्ट रूप से विश्वसनीय नहीं है।

— बीकेआर

just keep changing their certificateयदि दूरस्थ छोर ने अपना प्रमाणपत्र बदल दिया है, तो यह आपके द्वारा सहेजे गए से मेल नहीं खाएगा। यदि आप सभी CA व्यवसाय को अनदेखा करते हैं, तो क्या आप इसे केवल SSH होस्ट कुंजी की तरह नहीं मानते हैं।

— Zoredache

वास्तविक रूप से वे इसे हर 2 साल में एक बार बदलेंगे। मेरे द्वारा उपयोग किए जा रहे MS उत्पाद को कनेक्शन को https के माध्यम से सुरक्षित करने की आवश्यकता है। इसलिए इस पर भरोसा करना होगा। क्योंकि यह उनके सीए के साथ हस्ताक्षरित है, मुझे उनके सीए पर भरोसा करना होगा - मैं ऐसा नहीं करना चाहता हूं क्योंकि इससे उन्हें मेरे सर्वर पर किसी भी प्रमाण को खराब करने की अनुमति मिलेगी, क्योंकि उन्हें एक विशिष्ट मेजबान नाम के साथ सीमित बातचीत की अनुमति देने का विरोध किया गया था।

— बीकेआर

खैर .... आप उस भरोसे की जानकारी को दूसरे तरीके से पकड़ सकते हैं।

यह दुर्भाग्य से, थोड़ा जटिल है।

अपना स्वयं का CA बनाएं, फिर अपने CA के साथ अपने प्रमाणपत्र पर हस्ताक्षर करके, संभवतः डोमेन प्रतिबंध जोड़कर Dept-Intermediate-1 (या Dept-Root-CA) के लिए अपना स्वयं का क्रॉस-साइनिंग जारीकर्ता बनाएं। यदि "वास्तविक" डिपो-इंटरमीडिएट -1 निष्क्रिय (अधिमानतः) या अज्ञात है, तो विंडोज़ आपके ट्रस्ट चेन का उपयोग करेगी।

मेरा अन्य उत्तर यहां देखें: किसी डोमेन के लिए रूट प्रमाणपत्र प्रतिबंधित करें

यह इस तरह से प्रमाण पत्र काम करने के लिए माना जाता है, डिजिटल हस्ताक्षर का उपयोग करके मुख्य स्वामित्व का दावा करने के लिए। चूँकि आप सर्टिफिकेट और की को सर्वर में डालना चाहते हैं, आप इसे अपने अधिकार के तहत साइन इन करते हैं, और फिर आपको विश्वास करने के लिए सिस्टम को बताते हैं।

CA पदानुक्रम के बिना प्रमाण पत्र में अभी भी बहुत उपयोगिता है , ऊपर SSH कुंजियाँ क्या प्रदान करती हैं; इसका एक हिस्सा उन पर प्रतिबंध है। मुख्य उपयोग, वैधता की तारीख, निरस्तीकरण की जानकारी, डोमेन प्रतिबंध, आदि। अन्य भाग की पहचान करने वाली जानकारी है; सर्वर, जो जारीकर्ता की कुंजी, पहचान, CA नीतियों को लागू करता है, कुंजी भंडारण जानकारी आदि का मालिक है।

— davenpcj
स्रोत

यह दिलचस्प है। मुझे इस प्रक्रिया के माध्यम से काम करने के लिए कुछ समय खोजना होगा और देखना होगा कि क्या मैं इसे काम कर सकता हूं।

— brr