PKI Certificate Authority privat Schlüssel und Zertifikate

467
johnramsden

Ich versuche, OpenVPN einzurichten und bin etwas verwirrt über die Bedingungen.

Nach allem, was ich gelesen habe, besteht eine PKI aus:

  • Ein separates Zertifikat (auch als öffentlicher Schlüssel bezeichnet)
  • Ein privater Schlüssel für den Server und jeden Client.

Dieser Teil ist gut mit und ich verstehe.

Der zweite Teil einer PKI und der Teil, den ich aufgrund der unterschiedlichen Bedingungen etwas verstehe, betrifft die Zertifizierungsstelle (Certificate Authority, CA).

Die Dokumentation sagt

Generieren Sie das Master-Zertifikat und den Schlüssel der Certificate Authority (CA)

In diesem Abschnitt werden ein Master-CA-Zertifikat / -Schlüssel, ein Serverzertifikat / -schlüsselzertifikat und ein Schlüssel generiert, die zum Signieren der Server- und Clientzertifikate verwendet werden.

Die Begriffe, die ich gehört habe und die mich verwirrt haben, beziehen sich auf die Leute

  • Hauptschlüssel
  • Stammzertifikate
  • Private Schlüssel der Zertifizierungsstelle
  • Schlüssel der Zertifizierungsstelle
  • Certificate Authority-Zertifikate

Ich bin nicht sicher, ob sich mehrere auf dasselbe beziehen, aber die Zertifizierungsstelle hat mich sehr verwirrt.

Warum hat die Zertifizierungsstelle überhaupt Schlüssel? Ich dachte, die Zertifizierungsstelle habe die Aufgabe, Schlüssel auf Servern und Clients zu signieren. Benötigt die Zertifizierungsstelle in diesem Prozess auch einen privaten Schlüssel? Ist dieser private Schlüssel, auf den sich die Leute beziehen, wenn sie über Hauptschlüssel oder Stammzertifikate sprechen? Und sind diese Stammzertifikate dasselbe wie private Schlüssel?

Ich habe mehrere Webseiten durchlaufen und habe immer noch Probleme, die Zertifizierungsstelle zu verstehen.

1

2 Antworten auf die Frage

0
grawity

In diesem Abschnitt werden ein Master-CA-Zertifikat / -Schlüssel, ein Serverzertifikat / -schlüsselzertifikat und ein Schlüssel generiert, die zum Signieren der Server- und Clientzertifikate verwendet werden.

Ich denke, das ist nur das Ergebnis von Copy & Paste, bei dem versehentlich zwei verschiedene Absätze zusammengefügt wurden. Es sollte so sein:

"In diesem Abschnitt erstellen wir ein Master-CA-Zertifikat / einen Schlüssel, mit dem die Server- und Client-Zertifikate signiert werden."

Warum hat die Zertifizierungsstelle überhaupt Schlüssel? Ich dachte, die Zertifizierungsstelle habe die Aufgabe, Schlüssel auf Servern und Clients zu signieren.

Nun, ja, und genau dafür sind die Schlüssel - alle gängigen Arten digitaler Signaturen benötigen ein Schlüsselpaar. TLS-Clients und -Server verwenden ihre Schlüssel zum Signieren der Verbindungs-Handshake-Daten, während Zertifizierungsstellen ihre Schlüssel zum Signieren der ausgestellten Zertifikate verwenden.

Ist dieser private Schlüssel, auf den sich die Leute beziehen, wenn sie über Hauptschlüssel oder Stammzertifikate sprechen? Und sind diese Stammzertifikate dasselbe wie private Schlüssel?

Nah dran, aber nein. Zertifikate enthalten nur die öffentliche Hälfte des Schlüsselpaares sowie einige zusätzliche Informationen (Name des Inhabers, Name des Herausgebers und Unterschrift usw.). Sie sind also niemals dasselbe wie private Schlüssel, kommen aber immer in passenden Paaren.

Wenn jemand eine Datei mit seinem privaten Schlüssel signiert, können Sie die Signatur anhand des öffentlichen Schlüssels überprüfen, der in ihrem Zertifikat gespeichert ist. Beispielsweise werden alle ausgestellten Zertifikate mit dem privaten Schlüssel der Zertifizierungsstelle signiert und mit dem Zertifikat der Zertifizierungsstelle verifiziert.

(Das eigene Zertifikat der Zertifizierungsstelle ist von sich aus signiert, aber es ist sinnlos, es tatsächlich zu überprüfen, da es explizit als vertrauenswürdiger Stamm konfiguriert wurde .)


Am Ende beziehen sich alle aufgeführten Begriffe auf dasselbe: Ihre neue Zertifizierungsstelle verfügt über ein Schlüsselpaar (einen privaten Schlüssel und ein entsprechendes Zertifikat) und signiert damit alle ausgestellten Zertifikate.

0
Steven Lee - MSFT

Hier sind einige gute Artikel über die Funktionsweise des Zertifikats. Es wird hilfreich sein, um digitale Zertifikate zu verstehen:

Was sind Zertifikate?

Wie das Zertifikat funktioniert