Ssl
使用 SSL 證書進行身份驗證——一般問題
使用證書的 SSL 客戶端身份驗證——這是一個複雜的話題,我認為我學到的知識足以讓它變得更加複雜。
這是我的基本理解:公鑰和私鑰是由證書頒發機構生成的。此資訊可以保存在“證書”中,然後由客戶端用於身份驗證。
為什麼可以有沒有私鑰的證書?我知道,如果從 Windows 證書商店導出證書,您可以在沒有私鑰的情況下導出它。如何使用沒有私鑰的證書?我一直認為,如果您要將其轉移到另一台電腦/設備上使用,則兩者都需要。
如果公鑰和 CA 已知,是否可以隨時請求私鑰?
公鑰和私鑰由證書頒發機構生成。
您可以選擇允許證書頒發機構為您生成私鑰,但您不必這樣做。您可以在自己的系統上生成私鑰,然後向證書頒發機構送出證書籤名請求。證書頒發機構不需要知道您的私鑰。如果您真的對安全性感到偏執,您不應該讓他們為您生成私鑰。
此資訊可以保存在“證書”中,然後由客戶端用於身份驗證。為什麼可以有沒有私鑰的證書?
對於驗證您的密鑰是否有效的服務,他們需要信任生成您的證書的證書頒發機構的根密鑰,或者他們需要您的證書副本以及密鑰的公共部分。對您進行身份驗證的服務不需要您的私鑰。
如何使用沒有私鑰的證書?
某些服務可能不想信任 CA 頒發的每個密鑰。因此,他們可能希望保存您的密鑰的公開版本,以便他們知道您就是您。當然,如果他們信任 CA 將有效資訊放入主題中,那麼
如果公鑰和 CA 已知,是否可以隨時請求私鑰?
如果您只有公鑰,則永遠不可能檢索到私鑰。
如果您允許您的 CA 為您生成您的私鑰,並且他們將私鑰保存在他們的系統上並且安全性較弱,我猜 CA 可能會受到攻擊並檢索到私鑰。密鑰的公共部分將包含有關 CA 的資訊。不過,這些似乎不太可能。