Entendiendo el proceso de firma y verificación a través de una CA

Question

Entendiendo el proceso de firma y verificación a través de una CA

#1 de puzzlepalace (2 votos)

3

He estado investigando sobre este tema y necesito entender el proceso exacto de firma y verificación cuando se realiza a través de un CA de confianza. Por lo que entiendo, así es como funciona a un nivel muy alto:

Usted compra un certificado con una CA de confianza
La clave privada de este certificado se almacena de forma segura en el servidor
Los mensajes se firman con la clave privada de este certificado
En la aplicación cliente, la tienda de CA se carga y la verificación se realiza contra ella. La verificación se realiza correctamente si la CA confía en su certificado y, de lo contrario, falla.
Si la clave privada se ve comprometida, revoca el certificado y compra uno nuevo. Cualquier cliente que continúe verificando con el certificado revocado fallará la verificación.

Ahora mi pregunta es; ya que cada CA tiene su propia clave pública, y el cliente está verificando esa CA, y no directamente con mi clave pública, ¿cómo se establece el enlace entre la clave pública de la CA y mi propia clave pública (que está firmada con esa CA)? ¿Esta función de enlace se realiza internamente por la AC?

Gracias de antemano.

public-key-infrastructure certificates certificate-authority

pregunta seedg 14.10.2015 - 18:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure certificates certificate-authority

IV inverso AES-256-CBC PKCS # 7 ¿Asegurar el backend de su aplicación web?

score 2 · Accepted Answer

Ahora mi pregunta es; ya que cada CA tiene su propia clave pública, y la el cliente está verificando contra esa CA, y no directamente con mi público clave, ¿cómo es el enlace entre la clave pública de la AC y mi propia clave pública? (que se firma con esa CA) hecho? ¿Está esta función de enlace hecha? internamente por la CA?

El certificado emitido por la CA que contiene su clave pública está firmado con la clave pública de la CA emisora. Cuando presenta este certificado al cliente, debe validar que la firma de la entidad emisora de certificados es válida y proviene de una entidad emisora de certificados válida (entre otras cosas).

Si la CA es una CA intermedia, a su vez, el certificado que contiene su clave pública está firmado por una CA más arriba en la cadena, continuando de la misma manera hasta que se llegue a una CA raíz. Cuando un cliente valida su certificado, a su vez, valida todas las CA intermedias hasta una CA raíz.

Editar: Como señaló Jenny D, la CA emisora proporcionará la cadena de vuelta a la CA raíz si es una CA intermedia. Puede ver esta cadena (por ejemplo, en Safari) cuando inspecciona un certificado para un sitio web (en este caso para Google). (Google Internet Authority G2 es la CA emisora y GeoTrust Global CA es la CA raíz).