sle*_*ske 10 ssl cryptography ssl-certificate
我理解通常SSL(或更确切地说是X.509)证书应由某些认证机构签署,以确保它是真实的.
在某些情况下,不存在此类签名,例如,如果您为测试目的生成证书,或者您是证书颁发机构(根证书).在这些情况下,使用自签名证书.
我的问题:为什么要使用这种奇怪的自签名结构?为什么证书不能简单地没有任何签名?包含自签名签名收益的内容是什么?
或者仅仅因为它在技术上更容易(没有签名的特殊情况)总是在每个证书中都有签名,即使它是无意义的签名?
证书有三个主要部分
通过使用私钥加密前两个部分,然后将该加密信息附加到证书的末尾来签署证书.如果您可以使用证书中包含的公钥解密签名,那么您就知道证书是由持有匹配私钥的人签名的.签名将身份信息绑定到公钥.我用我的私钥签署我的证书,这样你只知道我可以阅读你可能用我的公钥加密的邮件.
现在,除非你真的亲自见过我并递给我证书,否则你真的不知道身份信息是合法的.证书的初衷是通过首先获得的是你的人了证书建立信任的网站已经在人满足,则相信有这些人,那么这些人的签名证书的人...
我想这是为了确保你不能用证书“撒谎”——也就是说,除非私钥持有者同意,否则你不能创建证书。这可以通过 CA 验证证书指定的实体是私钥持有者来确保,或者在自签名的情况下,通过让密钥持有者自己签署证书来确保。
| 归档时间: |
|
| 查看次数: |
1373 次 |
| 最近记录: |