是否有可能让 Windows 信任证书,而不让它信任根 CA 作为受信任的根 CA?
说我有以下证书链,
Dept-Root-CA
Dept-Intermediate-1
Server-Certificate
我想信任 Server-Certificate,但不想信任 Dept-Root-CA,因为这样它就可以签署任何证书,我的服务器也会信任它。仅仅因为我愿意为特定操作信任 Server-Certificate 上的证书,并不意味着我愿意相信 Dept-Root-CA 已得到适当保护。
谢谢
不。只要证书上写着“颁发者:xxx”,那么您还必须信任 xxx,一路向上。如果它是自签名证书,您可以将它放在受信任的根 CA 存储中,并且由于它是由同一实体颁发和颁发的,因此应该可以信任它。
但不,完全规避基于证书的安全性的整个目的通常是不可行或不可取的。
小智 5
嗯.... 你可以用另一种方式获取信任信息。
不幸的是,这有点复杂。
创建您自己的 CA,然后通过使用您的 CA 签署证书来为 Dept-Intermediate-1(或 Dept-Root-CA)创建您自己的交叉签名颁发者,可能会添加域限制。如果“真正的”Dep-Intermediate-1 被停用(最好)或未知,Windows 将使用您的信任链。
在此处查看我的其他答案:Restrict a root certificate to a domain
这就是证书应该如何工作,使用数字签名来表示密钥所有权的声明。由于您要断言证书和密钥属于服务器,因此您在自己的授权下自行签名,然后告诉系统信任您。
没有CA 层次结构的证书仍然有很多实用程序,高于 SSH 密钥提供的功能;其中一部分是对他们的限制。密钥用途、有效日期、撤销信息、域限制等。另一部分是识别信息;拥有密钥、颁发者身份、强制执行的 CA 策略、密钥存储信息等的服务器。
| 归档时间: |
|
| 查看次数: |
5037 次 |
| 最近记录: |