openSSL Anahtar ve Sertifika

1

Bildiğim kadarıyla, kimliği doğrulanmış bir SSL bağlantısında, hem istemci hem de sunucunun özel anahtarı var ve güvenli bağlantı kurmadan önce bağlantı boyunca sertifikalarını (karşılık gelen ortak anahtarlarla birlikte) veriyorlar. Ancak, bu sertifikalar ve anahtarlar sunucuda ve istemci tarafında kullanılan normal bir openSSL bağlantısı olduğu için biraz kafam karıştı, ancak ... openssl komutu tarafından oluşturulan istemci anahtar / genel anahtar sunucu özel anahtarından farklı CA tarafından oluşturulmuşsa o zaman bağlantı olmamalı, ancak openSSL ile denediğim deneyde bunun olmaması gerekiyor.

Beklenmedik değil mi? İstemci ve sunucu tarafında farklı CA'lar tarafından farklı anahtarlara sahip olmak normal mi? OpenSSL her oturum için anında özel bir anahtar oluşturuyor mu ve müşteriye bağlı değil mi? Bu anahtarların / sertifikaların sunucu ve clent tarafında nasıl çalıştığı ve bu anahtarların ve sertifikaların aralarında herhangi bir ilişki / bağımlılık olduğu hakkında bir fikri olan var mı?

ssl  openssl  c++  c 
ANS
kaynak
Bu soru bu toplulukta daha uygun: security.stackexchange.com
Romeo Ninov

Yanıtlar:

1

Çoğu SSL bağlantısı için, istemci bir sertifika sunmaz . Yalnızca sunucu doğrulandı.

Ancak bir istemci sertifikası gönderilirse, herhangi bir şekilde sunucu sertifikasıyla eşleşmesi gerekmez. İstemcilerin kimliğini nasıl doğrulayacağına karar vermek tamamen sunucuya bağlıdır; örneğin, belirli CA'ları veya belirli sertifika parmak izlerini beyaz listeye alabilir veya yalnızca herhangi bir şeyi kabul edebilir.

DH ve ECDH şifreleri ayrıca ortak anahtarları kullanır, ancak aynı anahtarları kullanmaz - her iki taraf da geçici bir DH keypair oluşturur ve bunu sertifika keypair ile imzalar veya imzasız gönderir.

grawity
kaynak
Girişiniz için teşekkür ederim. Ama daha net açıklayayım. Sunucu, istemciye gönderdiği bir CA tarafından imzalanmış bir sertifikaya ve anahtara sahiptir. İstemci Sunucunun kullandığı CA'nın farkında değilse, Sunucunun kimliği doğrulanabilir mi? Sunucunun istemcileri nasıl doğrulayacağına karar vermesini sağlayan openSSL komutu nedir; örneğin, belirli CA'ları veya belirli sertifika parmak izlerini beyaz listeye alabilir veya herhangi bir şeyi kabul edebilir mi?
ANS
Sunucuyu doğrulamak müşterileri hakkında: Müvekkilin CA sertifikasını yoksa, o zaman o olamaz CA dayalı sunucu kimlik doğrulaması Bu yüzden web tarayıcıları, kendinden imzalı sertifikalar için korkunç uyarıları gösterir. (Yani bazı sistemlerde (örneğin IRC) 'de, müşteri çoğunlukla sertifika beklemek anlatılıyor, söz konusu belirli bir parmak izi ile yerine CA tabanlı kontrollerin.)
grawity
Sunucu kimlik doğrulaması yapan istemciler hakkında: Neden bir OpenSSL "komutu" arıyorsunuz? Sihirli bir komut yok. Her sunucunun nasıl yazıldığına bağlıdır. (Örneğin, Apache .)
27:16
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.