เหตุใดจึงต้องใช้ผู้ออกใบรับรองระดับกลาง เมื่อใดจะใช้ใบรับรองระดับกลาง ฉันจะตรวจสอบห่วงโซ่จากใบรับรองกลางถึงใบรับรองรูทได้อย่างไร ตัวอย่างของใบรับรองกลางที่เชื่อมโยงกับใบรับรองหลักคืออะไร
เหตุใดจึงต้องใช้ผู้ออกใบรับรองระดับกลาง เมื่อใดจะใช้ใบรับรองระดับกลาง ฉันจะตรวจสอบห่วงโซ่จากใบรับรองกลางถึงใบรับรองรูทได้อย่างไร ตัวอย่างของใบรับรองกลางที่เชื่อมโยงกับใบรับรองหลักคืออะไร
คำตอบ:
เหตุใดจึงต้องใช้ผู้ออกใบรับรองระดับกลาง เมื่อใดจะใช้ใบรับรองระดับกลาง
บางครั้งเพื่อปกป้องคีย์ส่วนตัวของรูท CA จะถูกเก็บไว้ในตำแหน่งที่ปลอดภัยมากและใช้เพื่อลงชื่อใบรับรองระดับกลางสองสามฉบับเท่านั้นซึ่งจะใช้เพื่อออกใบรับรองเอนทิตีปลายทาง ในกรณีที่มีการประนีประนอมสามารถเพิกถอนตัวกลางได้อย่างรวดเร็วโดยไม่ต้องกำหนดค่าเครื่องใหม่ทุกครั้งเพื่อเชื่อถือ CA ใหม่
อีกสาเหตุที่เป็นไปได้คือการมอบสิทธิ์: ตัวอย่างเช่น บริษัท เช่น Google ซึ่งมักใช้ใบรับรองจำนวนมากสำหรับเครือข่ายของตัวเองจะมี CA ระดับกลางของตนเอง
ฉันจะตรวจสอบห่วงโซ่จากใบรับรองกลางถึงใบรับรองรูทได้อย่างไร
โดยปกติแล้วเอนทิตีปลายทาง (ตัวอย่างเช่นเว็บเซิร์ฟเวอร์ SSL / TLS) จะให้บริการคุณกับห่วงโซ่ใบรับรองทั้งหมดและสิ่งที่คุณต้องทำคือตรวจสอบลายเซ็น
สิ่งสุดท้ายในห่วงโซ่นั้นคือใบรับรองรูทซึ่งคุณทำเครื่องหมายว่าเชื่อถือได้แล้ว
ตัวอย่างเช่นเมื่อคุณมีห่วงโซ่[ผู้ใช้] → [intermed-1] → [intermed-2] → [root]การตรวจสอบจะเป็นดังนี้:
ไม่ผู้ใช้ []มี[intermed-1]ในฐานะ "ผู้ออก"?
ไม่ผู้ใช้ []มีลายเซ็นที่ถูกต้องโดย[intermed-1] 's สำคัญ?
ไม่[intermed-1]มี[intermed-2]ในฐานะ "ผู้ออก"?
ไม่[intermed-1]มีลายเซ็นที่ถูกต้องโดย[intermed-2] 's สำคัญ?
ไม่[intermed-2]มี[root]ในฐานะ "ผู้ออก"?
ไม่[intermed-2]มีลายเซ็นที่ถูกต้องโดย[root] 's สำคัญ?
เนื่องจาก[ราก]อยู่ที่ด้านล่างของโซ่และมีตัวเองเป็น "ผู้ออก" จึงถูกทำเครื่องหมายว่าเชื่อถือได้หรือไม่
กระบวนการนี้เหมือนกันตลอดเวลา การมีอยู่และจำนวน CA ระดับกลางไม่สำคัญ ใบรับรองผู้ใช้สามารถลงนามโดย root ได้โดยตรงและจะได้รับการตรวจสอบในลักษณะเดียวกัน
ตัวอย่างของใบรับรองกลางที่เชื่อมโยงกับใบรับรองหลักคืออะไร
ดูข้อมูลใบรับรองของhttps://twitter.com/หรือhttps://www.facebook.com/สำหรับโซ่ที่มีใบรับรองสามหรือสี่ ดูเพิ่มเติมที่https://www.google.com/สำหรับตัวอย่างของผู้ออกใบรับรองของ Google