ssl certfileとssl cacertfileの違いは何ですか?ssl cacertfileの生成
最初のものはユーザーの証明書ですが、2番目の証明書はピア証明書の検証に使用される信頼できる証明書であり、ピアを確認しないと省略することができます。
は、私は私は2番目を生成することができますどのように
openssl x509 -req -days 30 -in request.pem -signkey key.pem -out certificate.pem
で最初に生成することを考えると?
「通常の」証明書とCA証明書の両方が証明書です。わずかな違いがありますが、見解から本質的に異なるものはありません。
まず、証明書とは何ですか?証明書は署名された文書です。それは封筒のようなものです。郵便サービスから開かれていない郵便を受け取ったとき、封筒に書かれた送信者はそれに入っているものを置いたものだと信じています。誰かがあなたに封筒に15728という数字を送って、「OK、これは私の番号です。誰かがあなたに何かを与えて、この番号を提示するときは、それが私です」と言ってみましょう。
これは、署名がどのようなものであるかを簡略化したものです。 X.509の場合、あなたは「私の名前はABCで、私の組織はDEFと呼ばれ、それは国GHIに基づいています」と効果的に暗号化し、他の誰かによって生成される可能性は低い「数字」を与えます世界中。秘密鍵を持っていない限り、同じ文書を入手するのは難しいので、この証明書を提示すると、他の文書が誰でもその秘密鍵を持っていると判断することができます。あなたの友人があなたに送った番号と同じように誰でもあなたに15728を送ることができますが、他のすべての可能性からその数字を推測することはありません。
私はCA /エンドパント証明書で何が起こっているのかを説明しようとします。まず、基本的な前提は信頼です。あなたには多くの人がいます(私は文字A、B、C、...でそれらをマークします)。彼らは知っていると言うと、このようにお互いを信頼:
のは、人Aが、購入する必要があるとしましょう車。人CとEの両方にそれぞれ車があるとします。通常、BはAに「Aさんはちょうどお探しの車があります」とAさんに伝えます。Aさんは信頼に基づいてその車を購入します(それは良い車です)。それは、Eが信頼されていないので、それはEから車を買うことになる可能性は低いです。しかし、Dはお互いを知り信頼しているので、Eから車を買いたいと思うかもしれません。
CAは上記の例のBに似ています。 CAは、基本的に、地球上の多くの人々が盲目的に信頼する信頼できる権威です。彼らはその信頼を得るためにビジネスに彼らの評判を投資します。基本的に、異なるCAベンダーは、人や組織を検証し、これらのチェックが完了した後で証明書を発行することを信頼します。
CAには、「ルート証明書」または「中間証明書」があります。ルート証明書がインストールされている。オペレーティングシステムやブラウザの証明書ストアに保存され、本質的に信頼されています。道路の下にある他の証明書は、連鎖手段によって信頼されています。つまり、CA AがCA Bに証明書を発行した場合、CA Bには、より多くの(中間またはエンドポイント)証明書に署名するために使用できる「中間証明書」があります。例えば、このようにすることができ:
今、あなたは、チェーン化によって、基本的にはCA A(すなわち、それは、ルート証明書のRです)を信頼し、世界で誰にもこれを言うことができます。
を信頼しない理由はありませんあなたがここにこれについての詳細を読むことができ、それ
は、ここでは、opensslを使用して作成することができます方法は次のとおりです。