¿Por qué un archivo PKCS12 tiene una clave privada?

2

Según mi entendimiento, un archivo PKCS12 suministrado por el servidor debe importarse a la aplicación como una aplicación si queremos llegar a los puntos finales seguros de un servidor.

El archivo PKCS12 contiene los certificados, así como la clave privada cifrada del servidor. Este archivo se distribuye luego a todos los clientes que deseen establecer una conexión segura con los puntos finales REST del servidor. ¿Está mal mi entendimiento? Si no, entonces mi pregunta es ¿por qué un servidor necesita agregar una clave privada en el archivo PKCS12 ? ¿No es potencialmente un problema de seguridad?

El cifrado solo se realiza mediante la clave pública, nadie necesita saber acerca de la clave privada.

    
pregunta Akeshwar Jha 09.10.2017 - 21:06
fuente

1 respuesta

5

Un PKCS12 utilizado por un cliente debe contener una clave privada y cert / chain para el cliente , que se usa para autenticar al cliente para que el servidor sepa que una conexión SSL / TLS es de un legítimo / autorizado el cliente y, por lo tanto, las solicitudes a este respecto deben aceptarse y / o otorgarse el (los) privilegio (s) apropiado (s). Idealmente, un cliente debería usar una clave generada por sí misma combinada con un certificado emitido por una CA en el que el servidor confía o por el propio servidor, pero en algunas situaciones, una autoridad como el administrador del servidor simplemente proporciona una clave y en un PKCS12 para que no tengan que pasar 20 o 30 horas al día informando a los usuarios sobre cómo funciona la PKI y cómo generar una clave y cómo generar una clave que no sea del tipo incorrecto o demasiado breve o inaceptable y cómo escribir datos en una CSR y qué es una CSR y por qué una CSR no es un certificado y tampoco es una clave y por qué su CSR era defectuosa y cómo deben escribir los datos correctos en una CSR para que realmente funcionen y cómo buscar la clave que generaron hace 2 horas, pero ahora se han perdido, eliminado, sobrescrito o convertido en otra cosa o en la máquina equivocada etc. etc.

Los pares de claves del cliente deben ser diferentes de los pares de claves del servidor, y la clave privada del servidor nunca debe ser distribuida a un cliente, o en cualquier otro lugar, excepto una instalación de respaldo de claves o un servidor de reemplazo. Si el servidor utiliza un certificado autofirmado o un certificado emitido por una CA que no es de confianza, entonces un cert (no clave) que sirve como ancla de confianza para el servidor , el propio certificado si está autofirmado y, por lo general, el certificado raíz de CA, debe importarse como de confianza en el cliente (s).

    
respondido por el dave_thompson_085 10.10.2017 - 03:43
fuente

Lea otras preguntas en las etiquetas