Diferença entre AC autossignada e certificado autossignado

Não percebo bem a diferença entre uma chave de AC e um certificado. Uma chave da AC não é simplesmente um certificado? Permitam-me que tente esclarecer com um exemplo.

Tenho um cliente e um servidor. Só estou a tentar validar a minha ligação ao meu servidor e não a tentar estabelecer confiança nos outros para não me importar em assinar com um CA verdadeiro.

Opção 1: gerar uma AC autossuída (ssCA ) e usar isso para assinar um certificado (C). Eu então instalo ssCA para a base de dados do meu cliente e configurar o meu servidor para usar o certificado C .

Opção 2: gerar um certificado com assinatura própria (SSC). Instale o SSC na base de dados do meu cliente. Configura o meu servidor para usar o certificate SSC .

A segunda opção parece ser um processo muito mais simples. Ainda deve funcionar?

Author: codeforester, 2010-10-26
Source

4 answers

Ambas as opções são válidas, a opção 2 é mais simples.

A Opção 1 (Configurar a sua própria AC) é preferível quando necessita de vários certificados. Em uma empresa você pode configurar o seu próprio CA e instalar o certificado do CA Na base Keystone de todos os clientes. Esses clientes irão então aceitar todos os certificados assinados pelo seu CA.

A Opção 2 (auto-assinatura de um certificado sem AC) é mais fácil. Se você só precisa de um único certificado, então isso é suficiente. Instale-o nas teclas dos teus clientes e estás acabado. Mas quando você precisa de um segundo certificado, você precisa instalar isso novamente em todos os clientes.

Aqui está uma ligação com mais informações: criação de autoridades de certificação e certificados SSL autossignados

 46
Author: Helge Klein, 2016-09-13 04:13:18

Em primeiro lugar, sobre a distinção entre chave e certificado (em relação à "chave da AC"), existem 3 peças usadas quando se fala de certificados de chave pública (tipicamente X. 509): a chave pública, a chave privada e o certificado. A chave pública e a chave privada formam um par. Você pode assinar e decifrar com a chave privada, você pode verificar (uma assinatura) e criptografar com a chave pública. A chave pública destina-se a ser distribuída, enquanto a chave privada se destina a ser mantida privada.

A chave pública do certificado é a combinação entre uma chave pública e vários pedaços de informação (principalmente sobre a identidade do proprietário do par de chaves, quem controla a chave privada), esta combinação a ser assinado usando a chave particular do emissor do certificado. Um certificado X. 509 tem um nome distinto do assunto e um nome distinto do emitente. O nome do emitente é o nome do objecto do certificado da entidade que emite o certificado. Os certificados auto-assinados são um caso especial em que o emitente e o sujeito são os mesmos. Ao assinar o conteúdo de um certificado (ou seja, ao emitir o certificado), o emitente afirma o seu conteúdo, em especial a ligação entre a chave, a identidade (o objecto) e os vários atributos (que podem indicar a intenção ou o âmbito de Utilização do certificado).

Além disso, a especificação PKIX define uma extensão (parte de um dado certificado) que indica se um certificado pode ser utilizado como AC certificado, ou seja, se pode ser utilizado como emitente para outro certificado.

A partir disto, você cria uma cadeia de certificados entre o certificado de entidade final (que é o que deseja verificar, para um utilizador ou um servidor) e um certificado de AC em que confia. Pode haver Certificados de AC intermédios (emitidos por outros certificados de AC) entre o certificado de entidade final do seu serviço e o certificado de AC em que confia. Você não precisa estritamente de uma CA raiz no topo (uma CA autossignada certificado), mas é muitas vezes o caso (você pode optar por confiar em um certificado de AC intermediário diretamente se desejar).

Para o seu caso de Utilização, se gerar um certificado autossignado para um serviço específico, não importa se tem a bandeira da AC (extensão de restrições básicas). Você precisaria que fosse um certificado CA para poder emitir outros certificados (se você quiser construir seu próprio PKI). Se o certificado que você gera para este serviço é um certificado de AC, ele não deve fazer dano. O que importa mais é a forma como você pode configurar o seu cliente para confiar nesse certificado para este servidor em particular (os navegadores devem deixá-lo fazer uma exceção explícita muito facilmente, por exemplo). Se o mecanismo de configuração segue uma PKI (modelo sem o uso de exceções específicas), uma vez que não haverá necessidade de se construir uma cadeia (com apenas um certificado), você deve ser capaz de importar o certificado diretamente como parte das âncoras de confiança de seu cliente, quer se trate de um certificado de autoridade de CERTIFICAÇÃO ou não (mas isso pode depender do mecanismo de configuração do cliente).

 54
Author: Bruno, 2010-10-26 14:43:16

Você pode {[2] } para ver as diferenças entre o conteúdo dos ficheiros:

Na tua auto-assinada CA, podes ver: 

    X509v3 extensions:                                                          
        X509v3 Basic Constraints:
            CA:TRUE, pathlen:0
E no seu certificado assinado por si mesmo, é: 
    X509v3 extensions:                                                          
        X509v3 Basic Constraints:
            CA:FALSE
 4
Author: toksea, 2017-09-12 05:38:34

Você deve ter sempre uma AC de raiz, a AC tem uma chave que pode ser usada para assinar um certificado de nível inferior e um certificado de raiz que pode ser incorporado nos certificados de raiz aceites no cliente e é usada para verificar os certificados mais baixos para verificar se são válidos. Autossuficiente significa que você é o seu próprio CA. Sempre que criar um certificado auto-assinado você cria uma AC, em seguida, assinar um certificado de site com essa AC.

 1
Author: ewanm89, 2017-03-03 09:34:22