Назад | Перейти на главную страницу

Чем самозаверяющий сертификат отличается от запроса на подпись сертификата?

Со страницы вики для Запрос на подпись сертификата:

В системах инфраструктуры открытых ключей (PKI) Запрос на подпись сертификата (также CSR или запрос на сертификацию) - это сообщение, отправляемое заявителем в центр сертификации для подачи заявки на сертификат цифровой идентичности.

Со страницы вики для Самоподписанный сертификат:

В криптографии и компьютерной безопасности самоподписанный сертификат это сертификат идентичности, подписанный тем же лицом, чью личность он удостоверяет. Этот термин не имеет никакого отношения к личности человека или организации, которые фактически выполнили процедуру подписания. С технической точки зрения самозаверяющий сертификат - это сертификат, подписанный собственным закрытым ключом.

Похоже, что можно отправить CSR к CA чтобы получить сертификат цифровой идентичности. Этот сертификат цифровой идентификации потенциально может иметь тот же формат, что и самозаверяющий сертификат (например, Стандарты криптографии с открытым ключом 12 формат).

Ключевое отличие заключается в следующем: самоподписанный сертификат подписан той же стороной, которая владеет закрытый ключ, в то время как сертификат цифровой идентичности, возвращаемый центром сертификации при получении запроса на подпись сертификата, подписывается с использованием закрытого ключа центра сертификации.

Следовательно, самозаверяющий сертификат гарантированно работает для шифрования, но не для идентификации, в то время как сертификат цифровой идентификации от центра сертификации гарантированно работает для шифрования и идентификации.

Это правильно? Хотел бы получить разъяснения на примерах.

самозаверяющий сертификат подписан той же стороной, которая владеет закрытым ключом, а сертификат цифровой идентичности, возвращаемый центром сертификации при получении запроса на подпись сертификата, подписывается с использованием закрытого ключа центра сертификации.

Это верно.

Следовательно, самозаверяющий сертификат гарантированно работает для шифрования, но не для идентификации, в то время как сертификат цифровой идентификации от центра сертификации гарантированно работает для шифрования и идентификации.

Это довольно сложно. Сертификат, подписанный ЦС, является доверенным только для идентификации, потому что ЦС включен в предварительно заполненное хранилище сертификатов, встроенное в браузеры / ОС. Если бы у меня не было предварительно заполненного хранилища сертификатов, ни одному из них не было бы доверять.

Если я скачала и проверила сертификат этого самозаверяющего ключа и добавила его в свое хранилище сертификатов, то я могла бы доверять ему для всех целей.

Таким образом, с точки зрения технологии единственное отличие состоит в том, что ваш самозаверяющий сертификат не будет встроен в мой браузер / ОС.

ну, пока вы «доверяете» ЦС, подписавшему сертификат, вы можете быть уверены, что ситуация безопасна.

и вы обычно делаете это, устанавливая сертификаты ЦС (подписывающих лиц) в своей среде, чтобы он автоматически распознавал сертификаты, подписанные этим ЦС, и считал их «доверенными».

(извините, но я еще не могу комментировать, поэтому мне пришлось использовать кнопку ответа)

в качестве конкретного примера, в моей компании у нас есть собственный ЦС, и у нас есть сертификаты ЦС, установленные в каждом веб-браузере (будь то IE, firefox и т. д.), когда ЦС «подписывает» наши SSL-сертификаты (используемые в интрасети , приложения и т. д. прослушивание SSL / TLS), и мы получаем доступ к этим приложениям, они автоматически распознаются как безопасные, и вам не нужно нажимать на специальный предупреждающий баннер, в котором говорится, что используемые сертификаты не являются надежными (потому что они либо самоподписанный, либо подписанный неизвестным ЦС, либо ЦС, которому мы не доверяем)

ЦС - это то, что используется для подписи сертификата. CSR - это запрос, который вы отправляете в ЦС, чтобы они могли подписать вам сертификат, как правило, без ключа.

например, вы должны пойти в ЦС и спросить сертификат, который они спросят у вас, какую информацию, и они генерируют ключ и сертификат с CSR, ключ тот же, что и они просто генерируют новый сертификат. с разными атрибутами, иногда такими как даты действия и т. д.