vazba certifikátu na nadřazený certifikát

[Da Gony]

dobrý den, mám generované certifikáty SERVER.CRT(cert.pem), CA.CRT(chain.pem) a FULLCHAIN.PEM, (sloučení prvých dvou) a SERVER.KEY (privkey.pem), (kdo nerozumí co dané soubory znamenají, nemusí odpovídat)

Zajímá mě, čím je zajištěno, kde je uložena vazba v souboru certifikátu SERVER.PEM, v jakém poli, že daný certifkát je opravdu posvěcen nadřazenou autoritou (například R3)

Samotný postup a mechanismus tvorby certifikátu chápu: dám všanc svůj veřejný klíč (spolu s dalšími údaji, například použití budoucího certifikátu, doména, doména2, čas) a kontrolor ověří, že mi ho může vydat (že mi patří doména, nebo mě viděl nebo na dobré slovo) a svým privátním klíčem něco (CO? nějak serializovaná data toho v kurzívě
podepíše. Já si pak tento podpis někam musím přidat.
1. Kam k tomu certifikátu do jakého pole?
2. Nebo už mi "přijde" hotový certifikát, já si ho sám vyrobit nemůžu, když mi přijde správný podpis? Nebo jinak, vzniká certifikát u žadatele nebo ho posílá vydavatel hotový?


Pokud to rozeberu, tak PRIVKEY.PEM můžeme z toho uplně vynechat, jde o soukromý klíč(může obsahovat i veřejný klíč, ale to je taková zkratka). SERVER.PEM je samotný certifikát serveru, ale musí nést informaci s podpisem (a nese i informaci o tom, kdo ho podepsal, myšleno třeba sériové číslo nebo identifikátor nadřazeného certifikátu)? Pak je soubor CA.CRT, který jestli tomu dobře rozumím, je stejný pro všechny certifikáty vydané stejným vydavatelem (tedy v nějakém rozpětí času).

NO A FULLCHAIN.PEM vznikne sloučením právě serverového certifikátu a chain (další certifikáty)


A pak mám na závěr otázku, když do konfigurace webserveru dám jenom server.crt (tedy bez mezilehlých), bude to surfařům fungovat normálně? A nebo jinak, když tam bude fullchain.pem, posílá server surfařům celý řetěz nebo jen server.key nebo se to liší podle nějakých podmínek (podle nějakých flagů, nebo když o to klient zažádá)?

[JirkaVejrazka]

Nebudu ti to vypisovat cele, jen "nakopnu":

Kód: Vybrat vše

openssl x509 -in fullchain.pem -noout -text


Kdyz to budes chvili zkoumat, asi prijdes na to jak to funguje...

A pak mám na závěr otázku, když do konfigurace webserveru dám jenom server.crt (tedy bez mezilehlých), bude to surfařům fungovat normálně? A nebo jinak, když tam bude fullchain.pem, posílá server surfařům celý řetěz nebo jen server.key nebo se to liší podle nějakých podmínek (podle nějakých flagů, nebo když o to klient zažádá)?"

Opet - mohl bych ti to popsat, ale lepsi bude kdyz si to vyzkoumas sam. Spust si Wireshark nebo tcpdump (podle OS a preferenci) a vysleduj si, jak se domlouva klient se serverem. Nez zacne byt komunikace sifrovana, dojde prave k vymene certifikatu a je to tam docela pekne videt. Nezkousej to na servery Google (tam to funguje trochu jinak), ale na svuj vlastni.

[Da Gony]

Však x509 -text jsem zkusil jako první, ale nějak jsem na to nepřišel.,,

Mimojiné u x509 -text -in ca.crt (který obsahuje 2x za sebou --BEGIN-CERTiF.----,---END-CERTIF----) vidím jen informace jako kdyby to byl jeden certifikát. Je to nějaký bug? Samozřejmě si mohu rozdělit ten soubor na dva (ale ještě jsem to neskusil a nakoukal na x509 -text pro oba díly)