2

sslcertfileとsslcacertfileの違いは何ですか?

最初の証明書はユーザーの証明書であり、2番目の証明書はピア証明書の検証に使用される信頼できる証明書であり、ピアを検証しない場合は省略できます。

私が最初に生成することを考えると

openssl x509 -req -days 30 -in request.pem -signkey key.pem -out certificate.pem

どうすれば秒を生成できますか?

4

1 に答える 1

6

「通常の」証明書とCA証明書はどちらも証明書です。わずかな違いはありますが、本質的に違いはありません。

まず、証明書とは何ですか?証明書は署名されたドキュメントです。封筒のようなものです。開封されていない郵便物を郵便局から受け取った場合、封筒に書かれている差出人は、封筒に何も入っていないものであると信じています。封印されています。誰かが封筒に番号15728を送って、「OK、これは私の番号です。誰かがあなたに何かを与えてこの番号を提示するときはいつでも、それが私であることを知ってください」と言ったとしましょう。

これは、署名とは何かを単純化したものです。たとえば、X.509の場合、これを効果的に暗号化して「番号」を付けることで、「私の名前はABCで、私の組織はDEFと呼ばれ、GHIの国に基づいています」のように署名します。世界中の誰もが生成できる可能性は低いです。秘密鍵を持っていない限り同じドキュメントを取得するのは難しいため、この証明書を提示すると、他のドキュメントがその秘密鍵を持っている人によるものであるかどうかを判断できます。あなたの友人があなたに送った番号と同様に-誰でもあなたに15728を送ることができますが、他のすべての可能性からその番号を推測することはありそうにありません。

CA/エンドポイント証明書で何が起こっているのかを説明しようと思います。まず、基本的な前提は信頼です。多くの人がいるとしましょう(A、B、Cなどの文字でマークします)。彼らがこのようにお互いを知っていて信頼しているとしましょう:

  • A <-> B
  • B <-> C
  • D <-> E

Aさんが車を買う必要があるとしましょう。人CとEの両方がそれぞれ車を持っているとしましょう。通常、BはAに「ねえ、私の友人Cはあなたが探している車を持っている」と言い、Aは信頼に基づいてその車を購入する可能性が高くなります(それは良い車です)。Eは信頼されていないため、そのような状況ではEから車を購入する可能性は低くなります。ただし、Dはお互いを知っていて信頼しているため、Eから車を購入することを熱望している可能性があります。

CAは、上記の例のBのようなものです。CAは基本的に、地球上の多くの人々が盲目的に信頼している信頼できる機関です。彼らはその評判をビジネスに投資してその信頼を獲得します。基本的に、さまざまなCAベンダーが人や組織を検証し、これらのチェックが行われた後にのみ証明書を発行することを信頼します。

CAには、「ルート証明書」または「中間証明書」と呼ばれるものがあります。ルート証明書は、オペレーティングシステムやブラウザの証明書ストアなどにインストールされ、本質的に信頼されています。今後の他の証明書は、連鎖によって信頼されます。つまり、CAAがCABに証明書を発行した場合、CA Bは、より多くの(中間またはエンドポイント)証明書に署名するために使用できる「中間証明書」を持っています。たとえば、次のようになります。

  • CAAにはルート証明書Rがあります
  • CAAはCABに中間証明書Xを発行します
  • CABはCACに中間証明書Yを発行します
  • CACは証明書Zを発行します

これで、チェーンを使用して、基本的にCA A(つまりルート証明書R)を信頼する世界中の誰にでもこれを言うことができます。

  • OK、私はこの証明書Zを持っています。これは、CACが私を信頼していることを示しています。
  • 次に、CA Cには、CABがそれを信頼していることを示す証明書Yがあります。
  • 次に、CA Bには、CAAがそれを信頼していることを示す証明書Xがあります。
  • あなたはCAAを信頼しているので、私を信頼しない理由はありません

あなたはここでこれについてもっと読むことができます:

以下を使用してそれらを作成する方法は次のopensslとおりです。

于 2012-04-13T02:18:49.017 に答える