1

Я пытаюсь настроить OpenVPN, и я немного запутался в терминах.

Из того, что я прочитал, PKI состоит из:

  • Отдельный сертификат (также известный как открытый ключ)
  • Закрытый ключ для сервера и каждого клиента.

С этой частью я в порядке и понимаю.

Вторая часть PKI, и часть, с которой у меня возникли проблемы с пониманием из-за различных терминов, касается центра сертификации (CA).

В документации сказано

Создайте главный сертификат и ключ центра сертификации (ЦС)

В этом разделе мы создадим главный сертификат CA / ключ, сертификат сервера / сертификат ключа и ключ, который используется для подписи каждого из сертификатов сервера и клиента.

Термины, которые я слышал, и часть того, что меня смутило, - это люди, обращающиеся к

  • Мастер Ключи
  • Корневые сертификаты
  • Закрытые ключи центра сертификации
  • Ключи центра сертификации
  • Сертификаты центра сертификации

Я не уверен, что некоторые из них относятся к одной и той же вещи, но центр сертификации меня очень смутил.

Почему центр сертификации имеет ключи в первую очередь? Я думал, что работа центра сертификации заключается в том, чтобы подписывать ключи на серверах и клиентах. Нужен ли CA также закрытый ключ в этом процессе? Является ли этот закрытый ключ людьми, когда он говорит о главных ключах или корневых сертификатах. И являются ли эти корневые сертификаты тем же, что и закрытые ключи?

Я прошел через несколько веб-страниц, и у меня все еще есть проблемы с пониманием CA.

2 ответа2

0

В этом разделе мы создадим главный сертификат CA / ключ, сертификат сервера / сертификат ключа и ключ, который используется для подписи каждого из сертификатов сервера и клиента.

Тот... Я предполагаю, что это просто результат копирования и вставки, случайно соединяющих два разных абзаца. Должно быть так:

«В этом разделе мы создадим главный сертификат / ключ CA, который используется для подписи каждого из сертификатов сервера и клиента».

Почему центр сертификации имеет ключи в первую очередь? Я думал, что работа центра сертификации заключается в том, чтобы подписывать ключи на серверах и клиентах.

Ну, да, и это именно то, для чего нужны ключи - все распространенные типы цифровых подписей требуют пары ключей. Клиенты и серверы TLS используют свои ключи для подписи данных "рукопожатия" соединения, тогда как центры сертификации используют свои ключи для подписи выданных сертификатов.

Является ли этот закрытый ключ людьми, когда он говорит о главных ключах или корневых сертификатах. И являются ли эти корневые сертификаты тем же, что и закрытые ключи?

Близко, но нет. Сертификаты только держать общественную половину пары ключей, а также некоторую дополнительную информацию (имя владельца, название эмитента и подпись, и с.). Таким образом, они никогда не совпадают с закрытыми ключами, но всегда входят в соответствующие пары.

Если кто-то подписывает файл своим закрытым ключом, вы можете проверить подпись на открытом ключе, хранящемся в его сертификате. Например, все выданные сертификаты подписаны секретным ключом CA и сверены с сертификатом CA.

(Собственный сертификат ЦС подписывается сам по себе, но нет никакого смысла в деле проверки его, так как он был явно настроен в качестве доверенного корня.)


Итак, в конце концов, все перечисленные вами термины относятся к одному и тому же: ваш новый ЦС имеет одну пару ключей (закрытый ключ и соответствующий сертификат) и использует ее для подписи всех выданных сертификатов.

0

Вот несколько хороших статей о том, как работает сертификат. Это будет полезно для понимания цифрового сертификата:

Что такое сертификаты

Как работает сертификат

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .