makecert を介して生成したり、何らかの機関から購入したりできる他の証明書とは異なりますか?
Graeme
質問する
9975 次
6 に答える
6
Mile LとBoot to the Headで述べたように、拡張キーの使用法は、キーを使用できる目的を決定するものです。
ほとんどの商用認証局 (Verisign など) は、単一の目的またはできるだけ少ない目的で証明書を発行します。
彼らはこの目的の狭小化を利用して、証明書のさまざまな市場を開拓し、それに応じて価格を設定します。
(ほとんどの場合) 結果の証明書が同じ場合、Windows アセンブリ/Java/Office/Adobe Air などのさまざまなオブジェクト署名証明書を販売していることがわかります。
たとえば、ここで発行されるComodo コード署名証明書は、Java アプレット、WebStart アプリケーション、Firefox 拡張機能、さらには Windows アセンブリに署名できます。
于 2008-12-10T12:04:48.897 に答える
3
ソフトウェアの署名に使用される証明書は、ドキュメントの署名に使用される証明書と同じです。署名ソフトウェアの違いは、署名が最終的に存在する場所です。典型的な文書署名では、署名は元の文書に追加されるだけです。明らかな理由により、ほとんどの種類のソフトウェアに署名を追加することはできません (解釈された言語の中にはこれを許可するものもありますが、実際に署名が行われているかどうかはわかりません)。
署名の問題に対する解決策は、実行環境によって異なります。実行可能なバイナリの場合、署名は別のファイルに保存されることがよくあります。Java では、実行可能な JAR ファイルに署名を埋め込むことができます。
Microsoft は、署名プロセスの概要について、適切なリファレンスを提供しています。
于 2008-10-15T12:19:32.653 に答える
2
証明書が実行に移されるとき、それが実行することを意図する役割は、識別と同じくらい重要です。それはアイデンティティだけでなく、役割の承認についてもです。電子メール保護証明書は、サーバー認証を実行できないようにする必要があります。セキュリティ上の懸念から、単一の証明書を通じて与えられる権限に必要な制限があります。基盤となるAPIは、OSまたは.NET Frameworkなどの抽象化を介して、正しい使用法を適用する必要があります。
認証と承認には証明書を必要とする役割が大きく異なるため、証明書の種類は異なります。異なる証明書タイプと階層を許可すると、証明書の「証明書パス」にあるような証明書チェーンのモデルが可能になります。サーバー認証証明書は、信頼されたルート証明書のどこかにトップレベルのCA証明書を持っている必要があります...または最終的にそうする証明書の家系図の一部である必要があります。サードパーティの認証局は、確かに、機能と信頼の規模で価格を設定しています。
Boot To The Headは正しいです...証明書が役割を主張するものの説明を提供する拡張キー使用法属性があります(例:サーバー認証;または私のCAの証明書の場合:デジタル署名、証明書署名、オフ-ラインCRL署名、CRL署名)。証明書のプロパティの詳細を見ると、それが見つかります。
于 2008-10-21T15:18:43.117 に答える
2
それはあなたがそれで何をしているかによって異なります。証明書が SSL 通信でブラウザーによって受け入れられるようにする場合は、ブラウザーにルート証明書がインストールされている必要があります。当局によって生成された証明書には、すでにブラウザーにインストールされているルート証明書があります。
アセンブリに署名するためだけに証明書を使用している場合は、証明書は必要ありません。誰が証明書をチェックしているか、およびルートが既知の機関であるかどうかを気にするかどうかによって異なります。
詳細はこちら:
于 2008-10-15T12:13:14.587 に答える
2
私の知る限り、証明書には、SSLサーバー、コード署名、電子メール署名など、証明書の使用目的を説明する「キー使用法」属性があります。したがって、それはOS、Webブラウザー、またはe次第だと思います-メールクライアント、これらのビットをチェックします。
于 2008-10-17T17:28:38.300 に答える
1
また、GAC に追加するには、.NET アセンブリに厳密な名前を付ける必要がある (署名する必要がある) ことも付け加えておきます。
証明書にはさまざまな種類があります... Win 2003 サーバーにバンドルされている CA から、次を要求できます。
- クライアント認証
- メール保護
- サーバー認証
- コード署名
- タイムスタンプ署名
- IPSec
- 他の
于 2008-10-16T01:14:32.450 に答える