SSL 신뢰 계층 구조에서 중간 인증서에 서명하는 데 사용되는 것은 무엇이며 루트 인증서와 어떻게 관련됩니까?

Question

SSL에 대한 과제를 완료하고 있으며 인증서가 비대칭 및 대칭 암호화와 함께 사용되는 방법의 기본 사항을 이해하고 있습니다. 그러나 정확하게 신뢰 계층 구조가 작동하는 방법에 대한 세부 사항을 이해하는 데 어려움을 겪고 있습니다.

특히 중간 인증서에 서명하는 데 사용되는 것은 무엇입니까? 내가 본 모든 가이드는 CA 루트 인증서가 중간 인증서에 서명하는 데 사용됨을 명시합니다. 하지만 여기서 "기호"가 정확히 무엇을 의미합니까? 다시 말해, 서버는 중간 인증서가 CA 루트 인증서에 의해 인증된다는 것을 어떻게 증명합니까?

내 생각에 공개 키 또는 루트 인증서의 서명은 중간 인증서의 서명을 생성 할 때 사용되지만 이것이 정확한지 확실하지 않습니다.

나는 내 이해를 향상시키기 위해 어떤 정보라도 정말로 감사 할 것입니다.

Answer 1

정확히 하나의 매개 변수가있는 경우 항상 그렇지만 항상 그렇지는 않습니다. 중간 인증서는 최종 엔터티 인증서 (SSL/TLS 대부분 서버 인증서)에 서명 된 것과 정확히 같은 방식으로 루트가 서명합니다 중간체에 의해. 두 경우 모두 이것은 속기입니다. 서명은 실제로 비대칭 키 쌍의 개인 키을 사용하여 수행되며 인증서에는 개인 키로 만든 서명을 확인하는 데 사용되는 것과 동일한 키 쌍의 공개 키가 포함됩니다. 개인 키는 비공개이며 CA를 사용하는 우리 모두는 자신의 공개 키만 볼 수 있으므로 여기에 중점을 둡니다. 따라서 :

• 중간 인증 기관에 속한 개인 키를 사용하여 서명 한 서버 인증서. 중간 인증서에 일치하는 공개 키가 포함되어 있습니다. 중개인 (예 : 브라우저)은 서버 인증서를 확인하는 과정에서 서버 인증서의 Isssuer 이름을 사용하여 중간 인증서를 찾거나 확인하고 중간 인증서의 공개 키를 사용하여 서버 인증서의 서명을 확인합니다. 이는 서버 인증서가 중간 CA에 의해 실제로 발행되었고 변조되지 않았 음을 보증합니다.

  SSL/TLS 표준에 따르면 서버가 핸드 셰이크의 서버 인증서에 따라 중간 인증서 (또는 인증서)를 보내야하지만 그렇지 않은 경우 일부 클라이언트는 인증서에서 AIA를 사용하거나 다른 경험적 방법은 인증서를 얻는 것을 의미하거나, 이미 캐시되거나 심지어 구성되어있을 수도 있습니다.

• 중간 인증서가 루트 CA에 속한 개인 키를 사용하여 서명됩니다. 루트 인증서에 일치하는 공개 키가 포함되어 있습니다. 중간 인증서를 확인하는 과정에서 중개인은 중간 인증서의 발급자 이름을 사용하여 루트 인증서를 찾고 루트 인증서의 공개 키를 사용하여 중간 인증서의 서명을 확인합니다. 이것은 중간 인증서가 실제로 루트 CA에 의해 발행되었고 변조되지 않았 음을 보증합니다.

  루트 인증서는 일반적으로 해당 relier의 로컬 '트러스트 스토어'에 있어야하며 서버는이를 보내지 않아도됩니다. 일반적으로 트러스트 스토어는 브라우저 개발자 (Firefox) 또는 OS/플랫폼 개발자 (IE/Edge, Chrome, Safari)가 제공합니다.

relier가 부모 인증서를 찾는 방법을 제외하고 (주목할만한) 예외를 제외하고이 두 명령문 사이를 거의 평행하게 처리합니다. 또한 SSL/TLS 연결에 대한 서버 인증서 체인의 유효성 검사는 서명을 확인하는 것보다 훨씬 더 많은 작업이 필요합니다. 서명은 중요한 부분이며 다른 인증 기준은 보장 할 수 없습니다.

하나의 중간 CA 및 중간 인증서는 일반적으로 수천 (수백만 개)의 서버 인증서 및 서버에서 사용됩니다. 서버는 중간 인증서에 대해 '입증'할 책임이 없으며 전체 인증서의 유효성을 검사하는 클라이언트에게만 전달합니다.

크로스 스택도 참조하십시오. https://security.stackexchange.com/questions/56389/ssl-certificate-framework-101-how-does-the-browser-actually-verify-the-validity 이 관계에 대한 멋진 그래픽이 있습니다.