PKI Certificate Authority private a clés et certificats


1

J'essaie de configurer OpenVPN et je suis un peu confus quant aux termes.

D'après ce que j'ai lu, une ICP consiste en:

  • Un certificat séparé (également appelé clé publique)
  • Une clé privée pour le serveur et chaque client.

Cette partie me convient et je la comprends.

La deuxième partie d’une infrastructure à clé publique, et la partie que j’ai un peu de difficulté à comprendre en raison de la diversité des termes, concerne l’autorité de certification (AC).

La documentation dit

Générez le certificat et la clé de l'autorité de certification principale (CA)

Dans cette section, nous allons générer un certificat / clé d'autorité de certification principale, un certificat de serveur / clé de certificat et une clé permettant de signer chacun des certificats de serveur et de client.

Les termes que j'ai entendus et une partie de ce qui m'a confondu sont les gens qui font référence à

  • Clés maîtresses
  • Certificats racine
  • Clés privées de l'autorité de certification
  • Clés de l'autorité de certification
  • Certificats de l'autorité de certification

Je ne sais pas si plusieurs d'entre eux font tous référence à la même chose, mais l'autorité de certification m'a confondu.

Pourquoi l'autorité de certification a-t-elle des clés en premier lieu? Je pensais que le travail de l'autorité de certification consistait à signer les clés sur les serveurs et les clients. L'autorité de certification a-t-elle également besoin d'une clé privée dans ce processus? S'agit-il d'une clé privée à laquelle les personnes font référence lorsqu'elles parlent de clés principales ou de certificats racine? Et ces certificats racine sont-ils la même chose que les clés privées?

J'ai parcouru plusieurs pages Web et j'ai toujours du mal à comprendre le CA.

Réponses:


0

Dans cette section, nous allons générer un certificat / clé d'autorité de certification principale, un certificat de serveur / clé de certificat et une clé permettant de signer chacun des certificats de serveur et de client.

Je suppose que ce n'est que le résultat d'un copier-coller qui écrase accidentellement deux paragraphes différents. Cela devrait être comme ça:

"Dans cette section, nous allons générer un certificat / clé d'autorité de certification principale utilisé pour signer chacun des certificats de serveur et de client."

Pourquoi l'autorité de certification a-t-elle des clés en premier lieu? Je pensais que le travail de l'autorité de certification consistait à signer les clés sur les serveurs et les clients.

Oui, et c’est exactement ce à quoi servent les clés: tous les types de signatures numériques courants nécessitent une paire de clés. Les clients et les serveurs TLS utilisent leurs clés pour signer les données de "connexion" de la connexion, tandis que les autorités de certification utilisent leurs clés pour signer les certificats émis.

S'agit-il d'une clé privée à laquelle les personnes font référence lorsqu'elles parlent de clés principales ou de certificats racine? Et ces certificats racine sont-ils la même chose que les clés privées?

Proche, mais non. Les certificats ne contiennent que la moitié publique de la paire de clés, ainsi que des informations supplémentaires (nom du propriétaire, nom de l'émetteur et signature, etc.). Donc, elles ne sont jamais la même chose que les clés privées, mais elles viennent toujours par paires.

Si quelqu'un signe un fichier avec sa clé privée, vous pouvez vérifier la signature par rapport à la clé publique stockée dans son certificat. Par exemple, tous les certificats émis sont signés par la clé privée de l'autorité de certification et vérifiés par rapport au certificat de l'autorité de certification.

(Le propre certificat de l' autorité de certification est signé par lui-même, mais il est inutile de le vérifier puisqu'il a été explicitement configuré en tant que racine approuvée.)


En fin de compte, tous les termes que vous avez énumérés font référence à la même chose: votre nouvelle autorité de certification a une paire de clés (une clé privée et un certificat correspondant) et l’utilise pour signer tous les certificats émis.


En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.