Со страницы вики для запроса на подпись сертификата :
В системах инфраструктуры открытых ключей (PKI) - запрос на подпись сертификата (также CSR или запрос на сертификацию) - это сообщение, отправленное заявителем в центр сертификации для подачи заявки на сертификат цифровой идентичности.
Со страницы вики для Самозаверяющего сертификата :
В криптографии и компьютерной безопасности самозаверяющий сертификат является удостоверением личности, подписанным тем же субъект, личность которого он удостоверяет. Этот термин не имеет никакого отношения к личности человека или организации, которые фактически выполнили процедуру подписания. С технической точки зрения самозаверяющий сертификат - это сертификат, подписанный собственным закрытым ключом.
Похоже, что нужно отправить CSR в CA , чтобы получить сертификат цифровой идентичности . Этот сертификат цифровой идентичности потенциально может иметь тот же формат, что и самозаверяющий сертификат (например, формат Стандарты криптографии с открытым ключом 12 ).
Ключевое различие заключается в следующем: самозаверяющий сертификат подписан той же стороной, которая владеет закрытым ключом , тогда как сертификат цифровой идентичности, возвращаемый центром сертификации при получении запроса на подпись сертификата, подписывается с использованием закрытый ключ центра сертификации.
Следовательно, самозаверяющий сертификат гарантированно работает для шифрования, но не для идентификации, в то время как сертификат цифровой идентификации от центра сертификации гарантированно работает для шифрования и идентификации.
Это правильно? Хотел бы получить разъяснения на примерах.
самоподписанный сертификат подписывается той же стороной, которая владеет частным ключом, в то время как сертификат цифровой идентификации, возвращаемый центром сертификации при получении запроса на подписание сертификата, подписывается с использованием частного ключа центра сертификации.
Верно.
Таким образом, самоподписанный сертификат гарантированно работает в режиме шифрования, но не идентификации, в то время как сертификат цифровой идентификации от центра сертификации гарантированно работает в режиме шифрования и идентификации.
Это становится довольно сложным. Подписанному ЦС сертификату доверяют только для идентификации, так как ЦС входит в предварительно заполненное хранилище сертификатов, встроенное в браузеры/OS. Если бы у меня не было предзаполненного хранилища сертификатов, ни один из них не был бы доверенным
Если бы я загрузил и проверил сертификат этого самоподписного ключа и добавил его в свое хранилище сертификатов, то я бы мог доверять ему для любых целей
Так что с точки зрения технологии разница лишь в том, что ваш самоподписанный сертификат не был бы встроен в мой браузер/OS.
.ну, пока вы "доверяете" центру сертификации, подписавшему сертификат, вы можете быть уверены в безопасности ситуации.
и обычно это делается путем установки сертификатов (подписчиков) центра сертификации в вашей среде, чтобы он автоматически распознавал сертификаты, подписанные этим центром сертификации, и считал их "доверенными".
(извините, но я пока не могу прокомментировать, поэтому мне пришлось использовать кнопку ответа)
в качестве конкретного примера, в моей компании у нас есть свой собственный центр сертификации, и у нас есть CA сертификаты, установленные в каждом веб браузере (будь то IE, firefox и т.д.), когда CA "подписывает" наши SSL сертификаты (используемые в интрасети, приложениях и т.д., прослушивающие SSL/TLS), и мы получаем доступ к этим приложениям, они автоматически распознаются как безопасные, и вам не нужно нажимать на определенный предупреждающий баннер, говорящий о том, что используемые сертификаты не являются доверенными (потому что они либо самоподписываются, либо подписываются неизвестным CA, либо CA, которому мы не доверяем)
.CA - это то, что используется для подписи сертификата. CSR - это запрос, который вы посылаете в ЦС, чтобы они могли подписать вам сертификат. обычно без ключа.
, например, вы заходите в ЦС и спрашиваете сертификат, они спрашивают, какая информация, и генерируют ключ, а сертификат с CSR ключ тот же самый, они просто генерируют новый сертификат. с различными атрибутами, иногда такими, как срок годности и т.д....