Со страницы вики для Запрос на подпись сертификата:
В системах инфраструктуры открытых ключей (PKI) Запрос на подпись сертификата (также CSR или запрос на сертификацию) - это сообщение, отправляемое заявителем в центр сертификации для подачи заявки на сертификат цифровой идентичности.
Со страницы вики для Самоподписанный сертификат:
В криптографии и компьютерной безопасности самоподписанный сертификат это сертификат идентичности, подписанный тем же лицом, чью личность он удостоверяет. Этот термин не имеет никакого отношения к личности человека или организации, которые фактически выполнили процедуру подписания. С технической точки зрения самозаверяющий сертификат - это сертификат, подписанный собственным закрытым ключом.
Похоже, что можно отправить CSR к CA чтобы получить сертификат цифровой идентичности. Этот сертификат цифровой идентификации потенциально может иметь тот же формат, что и самозаверяющий сертификат (например, Стандарты криптографии с открытым ключом 12 формат).
Ключевое отличие заключается в следующем: самоподписанный сертификат подписан той же стороной, которая владеет закрытый ключ, в то время как сертификат цифровой идентичности, возвращаемый центром сертификации при получении запроса на подпись сертификата, подписывается с использованием закрытого ключа центра сертификации.
Следовательно, самозаверяющий сертификат гарантированно работает для шифрования, но не для идентификации, в то время как сертификат цифровой идентификации от центра сертификации гарантированно работает для шифрования и идентификации.
Это правильно? Хотел бы получить разъяснения на примерах.
самозаверяющий сертификат подписан той же стороной, которая владеет закрытым ключом, а сертификат цифровой идентичности, возвращаемый центром сертификации при получении запроса на подпись сертификата, подписывается с использованием закрытого ключа центра сертификации.
Это верно.
Следовательно, самозаверяющий сертификат гарантированно работает для шифрования, но не для идентификации, в то время как сертификат цифровой идентификации от центра сертификации гарантированно работает для шифрования и идентификации.
Это довольно сложно. Сертификат, подписанный ЦС, является доверенным только для идентификации, потому что ЦС включен в предварительно заполненное хранилище сертификатов, встроенное в браузеры / ОС. Если бы у меня не было предварительно заполненного хранилища сертификатов, ни одному из них не было бы доверять.
Если я скачала и проверила сертификат этого самозаверяющего ключа и добавила его в свое хранилище сертификатов, то я могла бы доверять ему для всех целей.
Таким образом, с точки зрения технологии единственное отличие состоит в том, что ваш самозаверяющий сертификат не будет встроен в мой браузер / ОС.
ну, пока вы «доверяете» ЦС, подписавшему сертификат, вы можете быть уверены, что ситуация безопасна.
и вы обычно делаете это, устанавливая сертификаты ЦС (подписывающих лиц) в своей среде, чтобы он автоматически распознавал сертификаты, подписанные этим ЦС, и считал их «доверенными».
(извините, но я еще не могу комментировать, поэтому мне пришлось использовать кнопку ответа)
в качестве конкретного примера, в моей компании у нас есть собственный ЦС, и у нас есть сертификаты ЦС, установленные в каждом веб-браузере (будь то IE, firefox и т. д.), когда ЦС «подписывает» наши SSL-сертификаты (используемые в интрасети , приложения и т. д. прослушивание SSL / TLS), и мы получаем доступ к этим приложениям, они автоматически распознаются как безопасные, и вам не нужно нажимать на специальный предупреждающий баннер, в котором говорится, что используемые сертификаты не являются надежными (потому что они либо самоподписанный, либо подписанный неизвестным ЦС, либо ЦС, которому мы не доверяем)
ЦС - это то, что используется для подписи сертификата. CSR - это запрос, который вы отправляете в ЦС, чтобы они могли подписать вам сертификат, как правило, без ключа.
например, вы должны пойти в ЦС и спросить сертификат, который они спросят у вас, какую информацию, и они генерируют ключ и сертификат с CSR, ключ тот же, что и они просто генерируют новый сертификат. с разными атрибутами, иногда такими как даты действия и т. д.