TLS/SSL을 처음 사용하므로 매우 기본적인 질문 일 수 있습니다. 그러나 많은 답변을 찾을 수 없었습니다.TLS/SSL 인증서 확인
TLS/SSL 클라이언트를 구현하려고합니다. 이 클라이언트는 Windows OS가 설치된 내장 장치 (XPe 또는 WES7)에서 실행됩니다. 내 구현은 GnuTLS를 사용합니다.
내 클라이언트가 서버 인증서를 확인할 수 있도록 신뢰할 수있는 기관 목록을 내 장치로 가져 오는 방법은 무엇입니까? 클라이언트 측에 저장된 파일로 클라이언트가 최신 정보를 유지해야합니까? 또는 클라이언트가 필요할 때마다 인터넷에서이 목록을 가져오고 로컬에서 유지 관리하지 않을 수 있습니까?
인증 기관 (CA) 마스터 인증서는 클라이언트 측에 저장되며 클라이언트는 클라이언트를 최신 상태로 유지해야합니다. CA 인증서가 자주 변경되지 않기 때문에 최신으로 유지하는 것은 어렵지 않습니다. 대부분 5 ~ 10 년 동안 유효합니다.
응용 프로그램에서 사용하는 모든 인터넷 사이트가 손상 될 수 있으므로 클라이언트 측 저장소가 필요합니다.
목록을 얻으려면 브라우저 또는 Java와 함께 배포 된 cacerts 파일로 배포 된 CA 인증서를 살펴보십시오. 코드를 공개하기 전에 CA에서 제공 한 정보를 사용하여 사용하는 인증서를 확인하여 정품 인증서인지 확인하고 싶을 것입니다.
Windows 컴퓨터로 이동하여 명령 줄에서 "certman.msc"를 실행하십시오. 각 CA 인증서 (중간 인증서, 신뢰할 수있는 기관)를 파일 (BER, PEM)로 내 보낸 다음이 인증서를 임베디드 소프트웨어로 가져옵니다. 이제 Windows와 같은 방식으로 이메일 인증서를 확인할 수 있습니다 (예 : 다양한 x.509 관련 RFC 및 CRL 사용)
감사합니다. 이것은 의미가 있습니다. 고객이 전자 메일을 보내는 책임이있는 경우 목록을 만드는 올바른 방법은 무엇입니까? 모든 전자 메일 공급자를 수동으로 추가해야합니까? – ViP
이메일은 다르게 작동합니다. 이메일 서버는 서로 대화하므로 클라이언트는 하나의 이메일 서버에 대해서만 알 필요가 있습니다. –
그래서 ... 근본적으로 내 고객에게 단 하나의 인증서 만 보관해야한다는 말입니까? 예를 들어 Google의 인증서 만 보관하면 야후에 이메일을 보낼 수 있습니까? Google의 정품 인증서를 어디에서 확인해야합니까? 내 브라우저 정보를 바탕으로 자신의 인증서는 Usertrust에서 가져 왔지만 거기에서 얻을 수있는 방법을 알 수는 없습니다. 미안하지만, 나는 그 질문들이 매우 기초적이라는 것을 알고있다. 온라인에 대한 많은 정보가 있으며 최근에 많이 읽었지만 이러한 작은 질문에 대한 답변을 찾기가 매우 어려워 보입니다. – ViP