Tham gia Đăng nhập
Điểm:0
Sauron avatar Server

Cài đặt PFX có đi kèm gói-ca, tôi có còn phải cài đặt ca-authority trong root không?

lá cờ br
Sauron

Tôi có một máy chủ web Windows và thường thì tôi cài đặt ca-authority trong "LocalMachine\Root" và chứng chỉ PFX trung gian trong "LocalMachine\My", mọi thứ đều hoạt động tốt. Bây giờ tôi tự hỏi, nếu trong quá trình tạo chứng chỉ PFX, tôi bao gồm ca-bundle, tôi có thể tránh cài đặt ca-authority trong "LocalMachine\Root" và chỉ cài đặt PFX có bao gồm ca-bundle trong "LocalMachine\My" không?

124
1 + 0
Điểm:1
avatar Server
lá cờ br
garethTheRed

Chứng chỉ CA gốc thường được cài đặt ở đầu đối diện của kết nối TLS với các chứng chỉ trong tệp PKCS#12 (PFX).

Nếu tệp PKCS#12 chứa chứng chỉ xác thực ứng dụng khách cùng với khóa riêng của nó và chứng chỉ của CA đã cấp chứng chỉ đó (và có thể là các chứng chỉ CA trung gian khác), thì chuỗi được cài đặt trong thiết bị của bạn và được sử dụng để xác thực bạn với một máy chủ từ xa. Máy chủ đó phải cài đặt CA gốc trong kho lưu trữ neo tin cậy của nó, nếu nó tin tưởng CA gốc đó, CA gốc mà nó sử dụng để xác minh các chứng chỉ từ PKCS#12 do máy khách cung cấp.

Tương tự như vậy, nếu tệp PKCS#12 chứa chứng chỉ xác thực máy chủ cùng với khóa riêng của nó và chứng chỉ của CA đã cấp nó (và có thể là các chứng chỉ CA trung gian khác) thì chuỗi được cài đặt trong máy chủ của bạn và được sử dụng để xác thực nó với máy chủ của bạn. thiết bị. Thiết bị của bạn phải được cài đặt CA gốc trong kho lưu trữ neo tin cậy của nó, nếu bạn tin tưởng CA gốc đó. CA gốc này sẽ sử dụng để xác minh các chứng chỉ từ PKCS#12 do máy chủ cung cấp.

Nói như vậy, PKCS#12 chỉ đơn giản là một vùng chứa, do đó, các tổ hợp chứng chỉ và khóa khác được cho phép, nhưng trên đây là hai trường hợp sử dụng phổ biến nhất.

Nếu bạn cài đặt tất cả các chứng chỉ trong PKCS#12, điều đó không có nghĩa là bạn tin cậy bất kỳ chứng chỉ CA gốc nào bên trong. Ai/điều bạn tin tưởng không song phương - đó là sự lựa chọn của bạn. Bạn cần đưa ra lựa chọn đó một cách rõ ràng để đảm bảo tính toàn vẹn của hệ thống.

Ví dụ: nếu bạn cài đặt PKCS#12 trên trình duyệt Firefox của mình để bạn có thể đăng nhập vào một trang web, thì việc cài đặt bất kỳ CA gốc nào trong PKCS#12 trong cửa hàng neo tin cậy của Firefox sẽ tự động không có nghĩa lý gì. Bạn có thể không muốn tin tưởng CA gốc đó để xác minh máy chủ web, chỉ để xác minh ứng dụng khách. Nghĩa là, các nhà phát triển Firefox không quyết định bạn tin tưởng CA gốc nào.

Tương tự, nếu bạn cài đặt PKCS#12 trong máy chủ Windows, nó có thể xuất trình các chứng chỉ đó cho bất kỳ máy khách nào kết nối với nó và những máy khách đó (nếu chúng đã cài đặt chứng chỉ CA gốc trong cửa hàng neo tin cậy của chúng) sẽ tin tưởng máy chủ. Tuy nhiên, điều đó không tự động có nghĩa là bạn muốn tin cậy các chứng chỉ khác được cấp cho máy chủ của mình từ CA gốc đó, chẳng hạn như chứng chỉ xác thực ứng dụng khách.

Điểm mấu chốt là - bạn quyết định nên tin vào điều gì.

0 + 1
Sauron avatar
lá cờ br
Sauron
Giải thích tuyệt vời, cảm ơn bạn
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.