루트 CA를 신뢰하지 않고 Windows에서 인증서를 신뢰할 수 있습니까?

루트 CA를 신뢰할 수있는 루트 CA로 신뢰하지 않고 Windows가 인증서를 신뢰하도록 할 수 있습니까?

다음 인증서 체인이 있다고 가정 해보십시오.

Dept-Root-CA
Dept-Intermediate-1
Server-Certificate

Server-Certificate를 신뢰하고 싶지만 Dept-Root-CA를 신뢰하고 싶지 않습니다. 그러면 인증서에 서명 할 수 있고 서버가이를 신뢰하기 때문입니다. 특정 작업에 대해 Server-Certificate의 인증서를 기꺼이 신뢰한다고해서 Dept-Root-CA가 올바르게 보호되었다는 것을 기꺼이 신뢰한다는 의미는 아닙니다.

감사

아니요. 인증서에 "발급자 : xxx"라고 표시되어 있으면 체인 전체에서 xxx를 신뢰해야합니다. 자체 서명 된 인증서 인 경우 신뢰할 수있는 루트 CA 저장소에 넣을 수 있으며 동일한 엔터티에 발급 및 발급되므로 신뢰할 수 있어야합니다.

그러나 인증서 기반 보안의 전체 목적을 완전히 회피하는 것이 일반적으로 불가능하거나 바람직하지 않습니다.

글쎄 .. 당신 은 다른 방법으로 그 신뢰 정보를 포착 할 수 있습니다.

불행히도 약간 복잡합니다.

자체 CA를 작성한 다음, CA에 인증서를 서명하여 도메인 제한을 추가하여 Dept-Intermediate-1 (또는 Dept-Root-CA)에 대한 자체 교차 서명 발행자를 작성하십시오. "실제"Dep-Intermediate-1이 비활성화되었거나 (바람직하게는) 알 수없는 경우, Windows는 대신 신뢰 체인을 사용합니다.

내 다른 답변보기 : 루트 인증서를 도메인으로 제한

이것은 디지털 서명을 사용하여 키 소유권 주장을 나타내는 인증서의 작동 방식입니다. 인증서와 키가 서버에 속해 있다고 주장하기 때문에 자신의 권한으로 서명 한 다음 시스템에 신뢰하도록 지시하십시오.

SSH 키가 제공하는 것보다 CA 계층 구조가 없는 인증서에는 여전히 많은 유틸리티가 있습니다. 그것의 일부는 그들에 대한 제한입니다. 키 사용, 유효 날짜, 해지 정보, 도메인 제한 등. 다른 부분은 식별 정보입니다. 키를 소유 한 서버, 발급자의 신원, CA 정책 시행, 키 저장소 정보 등