Aún aprendiendo las diferencias entre certificados. ¿Alguien puede explicar? Internet ha sido sorprendente hasta ahora no lúcido en la descripción de certificados.
* EDITAR para aclarar EE
"Entidad final" se define en X.509 (bueno, RFC 5280) como:
end entity: user of PKI certificates and/or end user system that is
the subject of a certificate;
pero la expresión realmente tiene sentido en el contexto de validación de ruta : un certificado "EE" se llama de esa manera porque cuando aparece en una ruta de certificado, es necesariamente al final de la ruta . En ese sentido, un "certificado EE" es un certificado que no contiene una extensión de Restricciones básicas , o que contiene una extensión de este tipo con el indicador cA igual a FALSE .
Ahora puede validar un certificado de CA colocándolo al final de una ruta, en cuyo caso ese certificado, aunque pertenece a una Autoridad de Certificación, puede ser temporalmente un "certificado de entidad final", dependiendo de cómo interprete esa expresion La relación va en la otra dirección: según el algoritmo de validación de ruta (específicamente la sección 6.1.4 , paso (k)), para que un certificado pueda aparecer en una ruta válida en cualquier lugar además del final, DEBE ser un "certificado CA" (es decir, aquí un certificado con una extensión de Restricciones Básicas con el indicador cA establecido en TRUE ).
Esto responde a su pregunta: si un certificado no es un "certificado de CA" (como en "certificado etiquetado como 'CA'", a diferencia de "certificado propiedad de por una organización que también es una Autoridad de Certificación "), entonces se puede usar solo como" entidad final "dentro de una ruta de validación.
(O, dicho de otra manera: no intentes leer demasiado en una terminología mal definida. En la práctica, lo que importa es lo que hacen las implementaciones do , es decir, el algoritmo de validación de rutas)
¿Todos los certificados que no son de CA tienen que ser certificados de entidad final?
Sí. Es una cosa u otra de acuerdo con RFC 5280, sección 3.2 :
X.509 v3 also includes an extension that identifies the subject of a
certificate as being either a CA or an end entity, reducing the
reliance on out-of-band information demanded in PEM.
This specification covers two classes of certificates: CA
certificates and end entity certificates. CA certificates may be
further divided into three classes: cross-certificates, self-issued
certificates, and self-signed certificates.
También: pregunta similar aquí: ¿Las organizaciones que reciben certificados se consideran "entidades finales" en una PKI?
Los certificados X.509 son documentos diseñados para contener información que está certificada como una copia exacta y sin cambios de información de seguridad crítica. El certificador suele ser un tercero de confianza mutua. Esa información consta de varios valores importantes, pero en este momento solo necesita comprender algunos: el nombre de la organización a la que pertenece el certificado, la clave pública de esa organización, un campo que indica las acciones para las que se puede usar esa clave pública, la identidad / identidades del firmante / firmantes, y la firma en sí misma.
Alguien de la autoridad que firma firmó la certificación, evaluando la información que proviene honestamente de la organización nombrada en el certificado, y luego lo certifica mediante la combinación de los bits del certificado (con SHA, MD5 u otro algoritmo hash), y luego los encripta. ese valor de resumen de hash con la clave privada súper secreta de la autoridad firmante. Esto produce la firma. Cualquier persona con la clave pública de la autoridad firmante puede usarla para validar que el resto del documento no se haya modificado.
El sistema operativo y los fabricantes de navegadores confían en las autoridades de firma para proporcionar certificados "autofirmados", certificados firmados por la propia autoridad. Estos certificados tienen el nombre de la autoridad firmante, su clave pública y un campo que dice que solo se puede usar para validar firmas. Estos se denominan certificados de raíz de confianza y las organizaciones que los emiten se denominan Autoridades de certificado (CA).
Cuando una organización quiere permitir que los usuarios cifren su tráfico, crean una Solicitud de firma de certificado (CSR). La CSR tiene su nombre, su clave pública y un indicador que dice que esta clave pública debe usarse solo para cifrar las claves de cifrado. Envían el CSR a su CA, quien (por una tarifa) lo valida, proviene de una fuente legítima, luego firma su solicitud y produce un certificado.
A veces, una CA no utilizará su clave raíz para firmar directamente cada certificado. Esto es común en las instalaciones de nivel empresarial. En su lugar, el certificado raíz firma un certificado diferente que tiene el indicador establecido en "validar firmas". Este certificado secundario es un certificado "de trabajo", y se utiliza para crear los miles de otros certificados utilizados en las operaciones diarias (certificados de usuario de correo electrónico, certificados de granja de servidores web, certificados de clientes, etc.) Estos se denominan certificado subordinado Autoridades (CSAs). No es infrecuente que una organización muy grande tenga una CSA dedicada a firmar certificados de correo electrónico, una CSA diferente firmando certificados de servidor web internos y una diferente firmando certificados de computadora cliente. Esta arquitectura general se conoce como una infraestructura de clave pública (PKI).
La respuesta es No. Tenemos una autoridad de certificación intermedia que no es ROOT CA ni End Entity.
El propósito de usar una CA intermedia es principalmente por seguridad. En general, la CA raíz se mantiene en la misma ubicación por razones de seguridad. La raíz CA firma la CA intermedia, la CA intermedia firma la entidad final.
Puede haber más de una CA intermedia.
ROOT CA | | CA intermedia | | Certificado de entidad final.
Lea otras preguntas en las etiquetas certificates certificate-authority