it-swarm-tr.com

X.509'da çapraz imzalama sertifikalarının kullanımı nedir?

X.509 mimarisinde diğer hiyerarşiden çapraz imza sertifikalarının kullanım alanları nelerdir?

Sadece güveni mi genişletiyor?


Yani cevaptan, CA3 CA2 (başka bir hiyerarşiden) ve CA1 (kendi hiyerarşisinde bir üst) tarafından CA3 sertifikasındaki kimlik doğrulama karmasını şifrelemek için kullanılan çapraz imzalanmışsa varsayıyorum?

24
zcqwevb

Güveni genişletmekle ilgili, evet. Hem CA1'e hem de CA2'ye güveniyorsanız ve her ikisi tarafından bir sertifika imzalandıysa, güvendiğiniz iki deniz kıyısı varlığı sertifikayı doğruladığından çok yüksek bir güven seviyesine sahipsiniz.

CA1 veya CA2'ye güvenen (ancak her ikisine birden değil) istemcilerinizin olduğu durumlar gibi güven doğrulama kolaylığını artırmanın ek bir avantajı vardır. Böyle bir durumda, her ikisi tarafından da güvenilecek bir sertifikayı çapraz imzalayabilirsiniz. Bu, daha fazla istemcinin farklı CA'lar için ayrı sertifika dağıtmak zorunda kalmadan güveni doğrulamasını sağlar.

Bir başka bonus da, CA'nın özel anahtarının sızdırıldığı durumlarda ortaya çıkar. Diyelim ki CA1'in anahtarı sızdırıyor ve sertifikanız CA1 ve CA2 tarafından imzalandı. Sızıntı sonrasında CA1, ortak anahtarı için bir iptal yayınlar ve artık CA1 tarafından yayınlanan hiçbir şeye güvenemezsiniz. Ancak, sertifikanız CA2 ile de çapraz imzalanmış olduğundan, CA2'ye güvenen herhangi bir istemci yine de sertifikanıza güvenini koruyabilir.

29
Polynomial

X.509 teknik özellikleri yalnızca bir imzayı destekler. RFC'den bunlarla ilgili:

   Certificate  ::=  SEQUENCE  {
        tbsCertificate       TBSCertificate,
        signatureAlgorithm   AlgorithmIdentifier,
        signatureValue       BIT STRING  }

Birden fazla imzaDeğeri değerini desteklemek için "imzaDeğeri BIT STRING SIRASI" gibi bir şey yapmanız ve birkaç değişiklik daha yapmanız gerekir.

Birden fazla CA tarafından imzalanmış bir X.509 sertifikanız varsa, onu görmek ve üzerinde biraz asn1parse yapmak isterim!

9
compcert

Let's Encrypt'in kullanılan şeması, tek bir sertifikada iki imza gerektirmez. Anladığım kadarıyla, şöyle görünüyor:

Bu CA Kökü

  • Ara Sertifika A (Ortak Kök X, CA Kökü tarafından imzalanmış)

Diğer-CA Kökü

  • Ara Sertifika A (Ortak Anahtar X (aynı!), Other-CA Root tarafından imzalanmıştır)

Bu durumda, aynı Ara Sertifika A'nın iki örneği vardır: biri kendi CA Kökünüz tarafından, diğeri Other-CA tarafından imzalanmış. İmza (ara CA'nın her örneği için bir imza) hariç, aynı RSA Anahtarına ve tüm alanlara eşittir. İstemci (tarayıcı gibi), her ikisinde değil, yalnızca bir Ara Sertifika örneğine sahip olan ve iki kökten birine yol açan bir sertifika zinciriyle sunulur. "Çapraz imza" yapmanın tek uyumlu yolu bu olabilir.

1
Myke B