36

Зачем нужны промежуточные центры сертификации? Когда будет использоваться промежуточный сертификат? Как проверить цепочку от промежуточного сертификата до корневого сертификата? Каковы примеры промежуточных сертификатов, которые ссылаются на корневые сертификаты?

1 ответ1

48

Зачем нужны промежуточные центры сертификации? Когда будет использоваться промежуточный сертификат?

Иногда для защиты личного ключа корневого ЦС он хранится в очень безопасном месте и используется только для подписи нескольких промежуточных сертификатов, которые затем используются для выдачи сертификатов конечных объектов. В случае компромисса промежуточные соединения могут быть быстро отозваны, без необходимости перенастраивать каждую машину для доверия новому ЦС.

Другая возможная причина - делегирование: например, такие компании, как Google, которые часто используют множество сертификатов для своих собственных сетей, будут иметь свой собственный промежуточный CA.

Как проверить цепочку от промежуточного сертификата до корневого сертификата?

Обычно конечный объект (например, веб-сервер SSL/TLS) предоставляет вам всю цепочку сертификатов, и все, что вам нужно сделать, это проверить подписи.

Последним в этой цепочке является корневой сертификат, который вы уже отметили как доверенный.

Например, когда у вас есть цепочка [пользователь] → [intermed-1] → [intermed-2] → [root], проверка выполняется следующим образом:

  1. Имеет ли [пользователь] [intermed-1] в качестве "Эмитента"?

  2. Имеет ли [пользователь] действительную подпись под ключом [intermed-1] ?

  3. Имеет ли [intermed-1] [intermed-2] в качестве "эмитента"?

  4. Имеет ли [intermed-1] действительную подпись под ключом [intermed-2] ?

  5. Имеет ли [intermed-2] [root] в качестве "Эмитента"?

  6. Имеет ли [intermed-2] действительную подпись под ключом [root] ?

  7. Поскольку [root] находится в нижней части цепочки и называется "эмитентом", помечается ли он как доверенный?

Процесс все время один и тот же; наличие и количество промежуточных ЦС не имеет значения. Сертификат пользователя может быть подписан пользователем root напрямую, и он будет проверен таким же образом.

Каковы примеры промежуточных сертификатов, которые ссылаются на корневые сертификаты?

См. Информацию о сертификате на https://twitter.com/ или https://www.facebook.com/ для цепочек, содержащих три или четыре сертификата. См. Также https://www.google.com/ для примера собственного центра сертификации Google.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .