Kök CA'sına güvenmeden bir sertifikaya Windows'da güvenmek mümkün mü?

14

Kök CA'ya güvenilen bir kök CA olarak güvenmeden Windows'a bir sertifikaya güvenmek mümkün mü?

Aşağıdaki sertifika zincirim olduğunu varsayalım,

Dept-Root-CA
Dept-Intermediate-1
Server-Certificate

Sunucu Sertifikasına güvenmek istiyorum, ancak Dept-Root-CA'ya güvenmek istemiyorum çünkü o zaman herhangi bir sertifikayı imzalayabiliyor ve sunucularım buna güveniyordu. Belirli bir işlem için Server-Certificate sertifikasına güvenmeye istekli olduğum için, Dept-Root-CA'nın düzgün bir şekilde korunduğuna güvenmeye istekli olduğum anlamına gelmez.

Teşekkürler

windows  ssl 
bkr
kaynak
Tam olarak ne için güvenmek istiyorsun? HTTPS? Yoksa başka bir şey mi? Orada olan kök CA başka bir şey kabul etmeden tek sertifikayı kabul etmek istediğinizi belirten yolları, ama ne yaptığınızı bağlıdır. (Yine de sertifikayı doğrulamaya çalışırsanız hatalar alırsınız)
Mark Henderson
Esasen evet. Özel kod olsaydı, bu bir sorun olmazdı - ama bu ADFS 2 kullanıyor ve sertifikaları nasıl ele aldığı konusunda yapabileceğim tek şey, sunucunun bu sertifikaya güvenme şeklini değiştirmek. Başka durumlar da var, ancak bu sadece mevcut örnek.
bkr

Yanıtlar:

5

Hayır. Sertifika "Yayınlayan: xxx" yazdığı sürece, zincire kadar xxx'e de güvenmelisiniz. Kendinden imzalı bir sertifika ise, sertifikayı Güvenilen Kök CA'ları deposuna koyabilirsiniz ve aynı kuruluşa verildiği ve aynı kuruluş tarafından verildiği için, o zaman güvenilir olması gerekir.

Ancak hayır, sertifika tabanlı güvenliğin tüm amacını tamamen atlatmak genellikle mümkün veya tavsiye edilemez.

Ryan Ries
kaynak
6
Bundan korkuyordum. Yine de atlatmak demem. Güvenli bir kanalın farklı bir kuruluş grubundaki bir makineyle konuşmasını istemem, CA'larına güvenmek istediğim anlamına gelmez.
bkr
Doğru ... ama CA bu sertifikayı imzaladı ve bu CA sertifikası olmadan karşı taraf sertifikalarını değiştirmeye devam edebilir.
SpacemanSpiff
6
Ne dediğini anladığımdan emin değilim. Sertifikalarına açıkça güvenmek istiyorum. Eğer değiştirilmiş olsaydı, tekrar açık bir şekilde güvenmek istiyorum. Temelde Firefox'ta olduğu gibi sertifika güven modelini istiyorum. Firefox'ta, sertifika mevcut güvenilir CA'lar altında geçerli değilse, yine de ona güvenmeyi seçebilirsiniz - değişirse, açık bir şekilde güvenilmediği için yeni sertifikaya güvenmeyi seçmeniz gerekir.
bkr
3
just keep changing their certificateUzak uç sertifikalarını değiştirirse, kaydettiğinizle eşleşmez. Tüm CA işlerini yoksayarsanız, yalnızca bir SSH ana bilgisayar anahtarı gibi davranmazsınız.
Zoredache
6
gerçekçi bir şekilde bunu her 2 yılda bir değiştireceklerdir. Kullandığım MS ürünü, bağlantının https ile güvenli olmasını gerektiriyor. bu yüzden güvenilir olmalı. çünkü onların CA ile imzalanmış CA onların güvenmek zorunda kalacak - bunu yapmak istemiyorum çünkü bu belirli bir ana bilgisayar adıyla sınırlı etkileşim izin aksine, benim sunucuya herhangi bir sertifika taklit etmek olacaktır.
bkr
5

Eh .... Sen olabilir başka bir şekilde bu güven bilgileri yakalamak.

Ne yazık ki, biraz karmaşık.

Kendi CA'nızı oluşturun, sonra sertifikanızı CA'nızla imzalayarak ve muhtemelen etki alanı kısıtlamaları ekleyerek Dept-Intermediate-1 (veya Dept-Root-CA) için kendi çapraz imzalama düzenleyicinizi oluşturun. "Gerçek" Dep-Intermediate-1 devre dışı bırakılırsa (tercihen) veya bilinmiyorsa, pencereler bunun yerine güven zincirinizi kullanır.

Diğer cevabımı burada görebilirsiniz: Kök sertifikayı bir alan adıyla kısıtla

Anahtar sahiplik iddiasını temsil etmek için dijital imzalar kullanarak sertifikaların bu şekilde çalışması gerekiyordu. Sertifikayı ve anahtarı sunucuya ait olduğunu iddia etmek istediğinizden, yetkiniz altında kendiniz imzalar ve sisteme size güvenmesini söylersiniz.

CA hiyerarşisi olmayan bir sertifikada SSH anahtarlarının sağladığının üstünde hala çok sayıda yardımcı program var ; bunun bir kısmı da bunlarla ilgili kısıtlamalar. Anahtar kullanım, geçerlilik tarihleri, iptal bilgileri, alan kısıtlamaları vb. Diğer kısım tanımlayıcı bilgilerdir; anahtarı, verenin kimliğini, uygulanan CA ilkelerini, anahtar depolama bilgilerini vb.

davenpcj
kaynak
Bu ilginç. Bu süreçte çalışmayı denemek ve çalışıp çalışamayacağımı görmek için biraz zaman bulmam gerekecek.
bkr
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.