PKI Certificate Authority приватных ключей и сертификатов

Question

PKI Certificate Authority приватных ключей и сертификатов

Я пытаюсь настроить OpenVPN, и я немного запутался в терминах.

Из того, что я прочитал, PKI состоит из:

Отдельный сертификат (также известный как открытый ключ)
Закрытый ключ для сервера и каждого клиента.

С этой частью я в порядке и понимаю.

Вторая часть PKI, и часть, с которой у меня возникли проблемы с пониманием из-за различных терминов, касается центра сертификации (CA).

В документации сказано

Создайте главный сертификат и ключ центра сертификации (ЦС)
В этом разделе мы создадим главный сертификат CA / ключ, сертификат сервера / сертификат ключа и ключ, который используется для подписи каждого из сертификатов сервера и клиента.

Термины, которые я слышал, и часть того, что меня смутило, - это люди, обращающиеся к

Мастер Ключи
Корневые сертификаты
Закрытые ключи центра сертификации
Ключи центра сертификации
Сертификаты центра сертификации

Я не уверен, что некоторые из них относятся к одной и той же вещи, но центр сертификации меня очень смутил.

Почему центр сертификации имеет ключи в первую очередь? Я думал, что работа центра сертификации заключается в том, чтобы подписывать ключи на серверах и клиентах. Нужен ли CA также закрытый ключ в этом процессе? Является ли этот закрытый ключ тем, о чем говорят люди, когда говорят о главных ключах или корневых сертификатах. И являются ли эти корневые сертификаты тем же, что и закрытые ключи?

Я просмотрел несколько веб-страниц и до сих пор не могу понять CA.

1

networking vpn openvpn certificate pki

Источник

johnramsden 14 июл '16 в 20:41

2 ответа

Решение

Вот несколько хороших статей о том, как работает сертификат. Это будет полезно для понимания цифрового сертификата:

Что такое сертификаты

Как работает сертификат

0

Источник

Steven Lee - MSFT 15 июл '16 в 08:10

Другие вопросы по тегам networking vpn openvpn certificate pki

grawity 15 июл '16 в 06:05 2016-07-15 06:05 · Accepted Answer · 2016-07-15 06:05

В этом разделе мы создадим главный сертификат CA / ключ, сертификат сервера / сертификат ключа и ключ, который используется для подписи каждого из сертификатов сервера и клиента.

Это... Я предполагаю, что это просто результат копирования и вставки, случайно соединяющих два разных абзаца. Это должно быть так:

"В этом разделе мы создадим главный сертификат / ключ CA, который используется для подписи каждого из сертификатов сервера и клиента".

Почему центр сертификации имеет ключи в первую очередь? Я думал, что работа центра сертификации заключается в том, чтобы подписывать ключи на серверах и клиентах.

Ну, да, и это именно то, для чего нужны ключи - все распространенные типы цифровых подписей требуют пары ключей. Клиенты и серверы TLS используют свои ключи для подписи данных "рукопожатия" соединения, а центры сертификации используют свои ключи для подписи выданных сертификатов.

Является ли этот закрытый ключ тем, о чем говорят люди, когда говорят о главных ключах или корневых сертификатах. И являются ли эти корневые сертификаты тем же, что и закрытые ключи?

Близко, но нет. Сертификаты содержат только открытую половину пары ключей вместе с некоторой дополнительной информацией (имя владельца, имя эмитента и подпись и т. Д.). Таким образом, они никогда не совпадают с закрытыми ключами, но всегда входят в соответствующие пары.

Если кто-то подписывает файл своим закрытым ключом, вы можете проверить подпись на открытом ключе, хранящемся в его сертификате. Например, все выданные сертификаты подписаны секретным ключом CA и сверены с сертификатом CA.

(Собственный сертификат CA подписан сам по себе, но нет смысла проверять его, поскольку он был явно настроен как доверенный корень.)

Итак, в конце концов, все перечисленные вами термины относятся к одному и тому же: ваш новый ЦС имеет одну пару ключей (закрытый ключ и соответствующий сертификат) и использует ее для подписания всех выданных сертификатов.