स्व-हस्ताक्षरित सीए और स्वयं हस्ताक्षरित प्रमाणपत्र

Question

के बीच अंतर मैं सीए कुंजी और प्रमाणपत्र के बीच अंतर पर स्पष्ट नहीं हूं। सीए कुंजी बस एक प्रमाण पत्र नहीं है? मुझे एक उदाहरण के साथ प्रयास करने और स्पष्ट करने दें।

मेरे पास एक ग्राहक और सर्वर है। मैं केवल अपने सर्वर से अपने कनेक्शन को प्रमाणित करने की कोशिश कर रहा हूं और दूसरों पर भरोसा स्थापित करने की कोशिश नहीं कर रहा हूं इसलिए मुझे वास्तविक सीए के साथ हस्ताक्षर करने की परवाह नहीं है।

विकल्प 1: स्व-हस्ताक्षरित सीए (SSCâ) उत्पन्न और का उपयोग करें कि एक प्रमाण पत्र (सी) पर हस्ताक्षर करने के लिए। मैं अपने क्लाइंट पर रूट कीस्टोर में एसएससीए इंस्टॉल करता हूं और सर्टिफिकेट सी का उपयोग करने के लिए अपना सर्वर सेटअप करता हूं।

विकल्प 2: एक स्व-हस्ताक्षरित प्रमाणपत्र उत्पन्न (एसएससी)। मेरे क्लाइंट पर रूट कीस्टोर में एसएससी इंस्टॉल करें। प्रमाण पत्र एसएससी का उपयोग करने के लिए मेरे सर्वर को सेटअप करें।

दूसरा विकल्प एक बहुत ही सरल प्रक्रिया की तरह लगता है। क्या वह अभी भी काम करना चाहिए?

Answer 1

दोनों विकल्प मान्य हैं, विकल्प 2 सरल है।

विकल्प 1 (अपना स्वयं का सीए सेट करना) बेहतर है जब आपको एकाधिक प्रमाणपत्र की आवश्यकता होती है। एक कंपनी में आप अपना स्वयं का सीए स्थापित कर सकते हैं और सभी ग्राहकों के रूट कीस्टोर में उस सीए प्रमाणपत्र को स्थापित कर सकते हैं। तब वे ग्राहक आपके सीए द्वारा हस्ताक्षरित सभी प्रमाणपत्र स्वीकार करेंगे।

विकल्प 2 (सीए के बिना प्रमाण पत्र पर हस्ताक्षर करना) आसान है। अगर आपको केवल एक प्रमाणपत्र की आवश्यकता है, तो यह पर्याप्त है। इसे अपने ग्राहकों के कीस्टोर में स्थापित करें और आप कर चुके हैं। लेकिन जब आपको दूसरे प्रमाणपत्र की आवश्यकता होती है, तो आपको इसे फिर से सभी ग्राहकों पर स्थापित करने की आवश्यकता होती है। (के बारे में "सीए कुंजी") Creating Certificate Authorities and self-signed SSL certificates

Answer 2

आपके पास हमेशा रूट सीए होना चाहिए, सीए की एक कुंजी है जिसका उपयोग निचले स्तर के प्रमाणपत्र और रूट प्रमाणपत्र पर हस्ताक्षर करने के लिए किया जा सकता है जिसे क्लाइंट पर स्वीकृत रूट प्रमाणपत्र में एम्बेड किया जा सकता है और इसका उपयोग निम्न को सत्यापित करने के लिए किया जाता है प्रमाण पत्र जांचने के लिए वे वैध हैं। स्वयं हस्ताक्षरित मतलब है कि आप अपने स्वयं के सीए हैं। जब भी एक स्वयं हस्ताक्षरित प्रमाणपत्र बनाते हैं तो आप एक सीए बनाते हैं, फिर उस सीए के साथ साइट प्रमाण पत्र पर हस्ताक्षर करें।

Answer 3

पहले, कुंजी और प्रमाणपत्र के बीच अंतर के बारे में, 3 जब सार्वजनिक कुंजी प्रमाण पत्र के बारे में आम तौर पर बात कर (प्रयुक्त टुकड़े देखते हैं एक्स:

यहाँ और अधिक जानकारी के साथ एक लिंक है 50 9): सार्वजनिक कुंजी, निजी कुंजी और प्रमाण पत्र। सार्वजनिक कुंजी और निजी कुंजी एक जोड़ी बनाती है। आप निजी कुंजी के साथ साइन और डिक्रिप्ट कर सकते हैं, आप (हस्ताक्षर) सत्यापित कर सकते हैं और सार्वजनिक कुंजी से एन्क्रिप्ट कर सकते हैं। सार्वजनिक कुंजी का वितरण किया जाना है, जबकि निजी कुंजी निजी रखा जाना है।

एक सार्वजनिक कुंजी प्रमाणपत्र सार्वजनिक कुंजी और जानकारी के विभिन्न टुकड़ों (मुख्य कुंजी जोड़ी के मालिक की पहचान के संबंध में, जो निजी कुंजी को नियंत्रित करता है) के बीच संयोजन है, इस संयोजन को निजी कुंजी का उपयोग करके हस्ताक्षरित किया जा रहा है प्रमाण पत्र जारीकर्ता। एक एक्स.50 9 प्रमाणपत्र में एक विषय विशिष्ट नाम और एक जारीकर्ता विशिष्ट नाम है। जारीकर्ता नाम प्रमाणपत्र जारी करने वाली इकाई के प्रमाण पत्र का विषय नाम है। स्व-हस्ताक्षरित प्रमाणपत्र एक विशेष मामला है जहां जारीकर्ता और विषय समान हैं। प्रमाण पत्र की सामग्री पर हस्ताक्षर करके (यानी।प्रमाण पत्र जारी करना), जारीकर्ता अपनी सामग्री, विशेष रूप से, कुंजी, पहचान (विषय) और विभिन्न विशेषताओं के बीच बाध्यकारी (जो प्रमाणपत्र के लिए उपयोग के इरादे या दायरे को इंगित कर सकता है) पर जोर देता है।

इस पर, PKIX विनिर्देश एक एक्सटेंशन (किसी दिए गए प्रमाणपत्र का हिस्सा) परिभाषित करता है जो इंगित करता है कि प्रमाणपत्र को CA प्रमाणपत्र के रूप में उपयोग किया जा सकता है, यानी, क्या इसे किसी अन्य प्रमाणपत्र के लिए जारीकर्ता के रूप में उपयोग किया जा सकता है या नहीं।

इससे, आप एंड-एंट्री सर्टिफिकेट (जिसे आप सत्यापित करना चाहते हैं, उपयोगकर्ता या सर्वर के लिए) और एक सीए प्रमाणपत्र जो आप भरोसा करते हैं, के बीच प्रमाणपत्रों की एक श्रृंखला बनाते हैं। आपकी सेवा के अंतिम-इकाई प्रमाणपत्र और आपके द्वारा भरोसा किए गए सीए प्रमाण पत्र के बीच इंटरमीडिएट सीए प्रमाण पत्र (अन्य सीए प्रमाणपत्रों द्वारा जारी) हो सकते हैं। आपको शीर्ष पर रूट सीए (एक स्व-हस्ताक्षरित सीए प्रमाण पत्र) की सख्ती से आवश्यकता नहीं है, लेकिन अक्सर यह मामला होता है (यदि आप चाहें तो आप सीधे मध्यवर्ती सीए प्रमाण पत्र पर भरोसा करना चुन सकते हैं)।

आपके उपयोग के मामले में, यदि आप किसी विशिष्ट सेवा के लिए स्वयं हस्ताक्षरित प्रमाणपत्र उत्पन्न करते हैं, चाहे उसके पास सीए ध्वज (मूल बाधाएं विस्तार) वास्तव में कोई फर्क नहीं पड़ता है। आपको अन्य प्रमाण पत्र जारी करने में सक्षम होने के लिए सीए प्रमाणपत्र होने की आवश्यकता होगी (यदि आप अपना खुद का पीकेआई बनाना चाहते हैं)। यदि आप इस सेवा के लिए जेनरेट करते हैं, तो एक सीए प्रमाणपत्र है, इसे कोई नुकसान नहीं करना चाहिए। इस विशेष सर्वर के लिए प्रमाण पत्र पर भरोसा करने के लिए आप अपने क्लाइंट को कॉन्फ़िगर करने के तरीके को और अधिक मायने रख सकते हैं (ब्राउज़र को आपको उदाहरण के लिए काफी आसानी से स्पष्ट अपवाद देना चाहिए)। यदि कॉन्फ़िगरेशन तंत्र एक पीकेआई मॉडल (विशिष्ट अपवादों का उपयोग किए बिना) का पालन करता है, क्योंकि एक श्रृंखला (केवल एक प्रमाणपत्र के साथ) बनाने की आवश्यकता नहीं होगी, तो आप ट्रस्ट एंकरों के हिस्से के रूप में सीधे प्रमाण पत्र आयात करने में सक्षम होना चाहिए आपका ग्राहक, चाहे वह सीए प्रमाणपत्र हो या नहीं (लेकिन यह क्लाइंट के कॉन्फ़िगरेशन तंत्र पर निर्भर हो सकता है)।

Answer 4

आप openssl x509 -noout -text -in $YOUR_CERT फ़ाइलें सामग्री के बीच मतभेदों को देखने के लिए कर सकते हैं:

में अपने स्व-हस्ताक्षरित सीए, जैसा कि आप देख सकते हैं:

X509v3 extensions:               
     X509v3 Basic Constraints: 
      CA:TRUE, pathlen:0 

और अपने स्व-हस्ताक्षरित प्रमाणपत्र में, यह है:

X509v3 extensions:               
     X509v3 Basic Constraints: 
      CA:FALSE