我已经对此进行了一些研究,但在连接点时仍然存在一些问题,即当服务器向客户端发送证书时,在验证签名和根证书方面会发生什么。
-
当您创建CSR时,它会生成一个私钥,并将其发送给CA以生成证书并对其进行签名,但CA不使用自己的私钥进行签名吗?那么,您使用CSR生成的私钥有什么意义呢?
-
当服务器发送其证书供客户端验证时,客户端如何准确地验证它是有效的CA证书。它有一组受信任的CA证书,好吗?但它们如何准确地用于验证它是使用服务器证书的签名和公钥签署服务器证书的有效CA?对哪些东西进行比较以确保它不是伪造的?
-
加密您的内部自签名证书有意义吗?内部根证书怎么样?还是只有私钥值得加密?
-
例如,如果我们不为我们的网络服务(通过SSL)保留加密数据数据库,一旦我们生成了自签名证书,我们会关心存储自己的私钥吗?如果我们这样做了,他们为什么?
当你创建CSR时,它会生成一个私钥和
或者您已经生成了自己的私钥。
然后将其发送给CA以生成证书并对其进行签名
您发送CSR。您不发送私钥。这是私人的。你不会把它发给任何人。
但是CA不使用自己的私钥进行签名吗?
是的。
那么,您使用CSR生成的私钥有什么意义呢?
它与证书中包含的公钥配对,是用于证明您并且只有您拥有该证书的过程的一部分,因为只有您才能使用证书中的公钥验证的私钥生成数字签名。
当服务器发送其证书供客户端验证时,客户端如何准确地验证它是有效的CA证书。它有一组受信任的CA证书,好吗?但它们如何准确地用于验证它是使用服务器证书的签名和公钥签署服务器证书的有效CA?对哪些东西进行比较以确保它不是伪造的?
证书本身通过验证其数字签名进行验证;检查其是否在有效期内;然后尝试使用证书的所谓签名者("颁发者")和集合中的受信任证书来形成证书链。
加密您的内部自签名证书有意义吗?
没有。它们是公开文件。只有私钥是私钥,而证书中没有私钥。
内部根证书怎么样?
没有。
还是只有私钥值得加密?
是的。
例如,如果我们不为我们的网络服务(通过SSL)保留加密数据数据库,一旦我们生成了自签名证书,我们会关心存储自己的私钥吗?如果我们这样做了,他们为什么?
因为这是私人的。这是你身份的重要组成部分。如果你泄露了它,其他人可以冒充你。