SSL 체인은 어떻게 작동합니까?


37

중간 인증 기관이 필요한 이유는 무엇입니까? 중간 인증서는 언제 사용됩니까? 중간 인증서에서 루트 인증서까지 체인을 확인하려면 어떻게합니까? 루트 인증서에 연결되는 중간 인증서의 예는 무엇입니까?


6
질문을 닫기 위해 투표하기 전에 의견을 말한 사람들에게 감사 할 것입니다. 나는 왜 당신이 그것을 닫고 싶을 지 전혀 모른다. 예를 들어 그것이 복제인지, 말이되지
않는지

11
@ Linker3000-분명한 답이없고 대화가 혼동되어서는 안되기 때문에 질문은 개방형이 아닙니다. SSL 인증서를 구현할 때 필요한 경우 SSL 체인의 기초를 이해하여 SSL 체인이 작동하는 방식을 이해해야합니다.
PeanutsMonkey

답변:


48

중간 인증 기관이 필요한 이유는 무엇입니까? 중간 인증서는 언제 사용됩니까?

때로는 루트 CA의 개인 키를 보호하기 위해 매우 안전한 위치에 저장되며 몇 개의 중간 인증서에 서명하는 데만 사용되며이 인증서는 최종 엔터티 인증서를 발급하는 데 사용됩니다. 타협이 발생할 경우 새 CA를 신뢰하기 위해 모든 단일 시스템을 재구성하지 않고도 중간체를 신속하게 취소 할 수 있습니다.

또 다른 가능한 이유는 위임입니다. 예를 들어, 자체 네트워크에 많은 인증서를 사용하는 Google과 같은 회사는 자체 중간 CA를 갖게됩니다.

중간 인증서에서 루트 인증서까지 체인을 확인하려면 어떻게합니까?

일반적으로 최종 엔터티 (예 : SSL / TLS 웹 서버)는 전체 인증서 체인을 제공하며 서명을 확인하기 만하면됩니다.

해당 체인의 마지막 부분은 이미 신뢰할 수있는 것으로 표시된 루트 인증서입니다.

예를 들어 체인 [user] → [intermed-1] → [intermed-2] → [root] 인 경우 확인은 다음과 같습니다.

  1. 합니까 [사용자][INTERMED-1] 의 "발급자"등을?

  2. 합니까 [사용자] 에 의한 유효한 서명이 [INTERMED-1] 의 키를?

  3. 합니까 [INTERMED-1][INTERMED-2] 의 "발행 회사"로?

  4. 합니까는 [INTERMED-1] 에 의한 유효한 서명이 [INTERMED-2] 의 키를?

  5. 합니까 [INTERMED-2][루트] 의 "발급자"등을?

  6. 합니까는 [INTERMED-2] 에 의한 유효한 서명이 [루트] 의 키를?

  7. 이후 [루트] 체인 아래쪽에 있고 "발급자"자체를 보유하고, 신뢰할 수있는 것이 표시되어?

프로세스는 항상 동일합니다. 중간 CA의 존재와 개수는 중요하지 않습니다. 사용자 인증서는 루트로 직접 서명 할 수 있으며 동일한 방식으로 확인됩니다.

루트 인증서에 연결되는 중간 인증서의 예는 무엇입니까?

3-4 개의 인증서가 포함 된 체인 은 https://twitter.com/ 또는 https://www.facebook.com/ 의 인증서 정보를 참조하십시오 . Google 자체 인증 기관의 예 는 https://www.google.com/ 을 참조하십시오 .


감사. 위임 할 때 자체 중간 인증서를 보유하는 데 어떻게 도움이됩니까? 또한 신뢰할 수있는 다른 루트 인증 기관에서 서명했음을 의미합니까? Google 인증서를 보았지만 체인을 보지 못했습니다. 당신이 무슨 뜻인지 이미지를 업로드 할 수 있습니까?
PeanutsMonkey

다른 신뢰할 수있는 루트 인증 기관에서 서명하지 않고 신뢰할 수있는 루트 인증 기관에서 서명합니다. 일반적인 CA에는 인증서에 서명 할 수있는 여러 가지 시스템이 있습니다. 이들이 모두 루트 키를 실제로 사용한 경우 한 시스템을 손상 시키면 전체 CA가 손상되고 모든 인증서를 신뢰할 수 없게됩니다.
David Schwartz

1
@David Schwartz-감사합니다. 따라서 Google의 경우 루트 인증 기관은 Equifax로 중간 인증서를 생성 할 수 있습니다. 맞습니까?
PeanutsMonkey

4
맞아요. 아마도 Equifax는 해당 중간 CA에서 발행 한 인증서에 서명하는 데 필요한 키를 보유하고 있지만 Google은 Equifax가 직접 개입하지 않고도 인증서에 서명 할 수있는 인터페이스를 가지고 있습니다. Google이이 권한을 남용한 경우 Equifax는 루트 권한을 사용하여 Google의 중간 CA 권한을 취소 할 수 있습니다.
David Schwartz

whatsmychaincert.com 을 사용 하면 문제를 감지하고 올바른 체인 인증서를 생성 할 수 있습니다.
Ethan Allen
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.