CA 인증서 이해 문제

당신은 오해를 가지고 있습니다. 실제로 두 시나리오 모두 잘못되었습니다.

첫째, 디지털 인증서는 CA(인증 기관)에서 발급되며 디지털 서명을 위한 공개 키를 포함하고 서명자의 신원을 지정합니다. 인증서는 공개 키가 서명자의 소유인지 확인하는 데 사용되며 CA는 보증인 역할을 합니다.

인증서의 유효성과 관련하여 로컬이 아닌 인터넷을 통해 CA에 대해 인증서를 확인하고 프로세스에서 CA에서 공개 키를 검색합니다.

공개 키는 해시 알고리즘을 사용하여 서명된 개체가 실제로 서명된 개체이고 어떤 방식으로든 변경되지 않았는지 확인하는 데 사용됩니다.

천 마디 말보다 한 장의 사진이 더 가치가 있듯이,

원천 :디지털 서명 이해.

우선 다음과 같은 것들이 있습니다.두 단계CA에서 발급한 인증서를 확인하려면 다음 단계를 따르세요.

1. 이 특정 CA가 인증서를 발급하도록 신뢰할 수 있습니까?
2. 이 인증서는 실제로 주장하는 CA에서 발급된 것입니까?

두 가지 설명 모두 거의 적합합니다.절반전체 프로세스를 살펴보지만 나머지 절반은 완전히 무시합니다. 두 가지를 결합하면 올바른 방향으로 나아갈 수 있습니다.

그러나 두 번째 요점은 다음과 같습니다.암호화가 사용되지 않습니다.이 상황에서는 인증서(공개 키 포함)를 사용하여 데이터를 암호화할 수 있지만~ 아니다그것을 해독합니다. 수행되는 것은서명 확인.

(예를 들어 "RSA에서는 암호화와 서명이 동일합니다"라는 내용을 읽었기 때문에 혼란이 발생한 것 같습니다. 잊어버리세요. 수학적 의미에서는 대부분 정확하지만 실제로는 엄청나게 오해의 소지가 있습니다.의도둘 사이는 완전히 반대다. 따라서 서명에 관해 설명하는 문서를 읽을 때,하지 마라암호화하는 것과 같은 의미라고 가정합니다.)

---

"이 웹사이트의 인증서는 실제로 웹사이트가 주장하는 CA에서 발급된 것입니까?"

변형 #2는 이에 대해 거의 정확합니다. 최소한 두 개의 인증서가 관련되어 있습니다. 하나는 웹 사이트("서버 인증서")를 나타내고 다른 하나는 CA 자체("CA 인증서" 또는 루트 인증서라고 함)를 나타냅니다.

웹사이트 자체 인증서는 다음과 같습니다.암호화되지 않음CA의 개인 키로 그것은서명됨CA의 개인 키로. 서명을 확인할 수 없다면 CA가 실제로 청구된 내용에 서명하지 않은 것이 분명합니다.

(실제로 체인은 일반적으로 조금 더 길며 최소 3개의 인증서로 구성됩니다. 그러나 메커니즘은 여전히 ​​동일합니다. 각 인증서는 체인의 다음 인증서에 서명합니다.)

그러나 Bob은 처음에 이 "특수 CA 인증서"를 어디서 얻습니까? 아래를 참조하세요.

"이 CA는 일반적으로 인증서를 발급하도록 신뢰할 수 있습니까?"

수신된 CA 인증서는 로컬 컴퓨터에 저장된 "신뢰할 수 있는 루트" 목록과 비교됩니다.

이제 이는 컴퓨터가 모든 인증서를 저장하지 않는다는 점을 제외하면 변형 #1에서 설명한 것과 유사합니다.발행 된CA별 – 대신 CA에 속한 인증서만 저장합니다.그들 자신, 즉 변형 #1의 "특수 CA 인증서"입니다.

대략적으로 있습니다50~100대부분의 시스템에 설치된 "루트 인증서" - "세계의 모든 단일 CA"는 아니지만 많은 크고 작은 회사에 적용됩니다. (목록에 포함되려면 꽤 많은 비용이 듭니다.)