我正在尝试建立OpenVPN,我对这些术语有点困惑。
根据我的阅读,PKI包括:
那部分我很好,我理解。
PKI的第二部分,以及由于所有不同术语而难以理解的部分是关于证书颁发机构(CA)。
文件说
生成主证书颁发机构(CA)证书和密钥
在本节中,我们将生成主CA证书/密钥,服务器证书/密钥证书和密钥,用于对每个服务器和客户端证书进行签名。
我听到的条款和人们所指的混淆我的一部分
我不确定其中有几个都是指同一件事,但证书颁发机构让我非常困惑。
为什么证书颁发机构首先拥有密钥?我认为证书颁发机构的工作是在服务器和客户端上签名密钥。CA在此过程中是否还需要私钥?是人们在谈论主密钥或根证书时引用的私钥。这些根证书与私钥一样吗?
我经历了几个网页,但我仍然无法理解CA.
Answers:
在本节中,我们将生成主CA证书/密钥,服务器证书/密钥证书和密钥,用于对每个服务器和客户端证书进行签名。
那...我猜这只是复制和粘贴意外地将两个不同段落混合在一起的结果。它应该是这样的:
“在本节中,我们将生成一个主CA证书/密钥,用于签署每个服务器和客户端证书。”
为什么证书颁发机构首先拥有密钥?我认为证书颁发机构的工作是在服务器和客户端上签名密钥。
嗯,是的,这正是密钥的用途 - 所有常见类型的数字签名都需要密钥对。TLS客户端和服务器使用其密钥对连接“握手”数据进行签名,而CA使用其密钥对颁发的证书进行签名。
是人们在谈论主密钥或根证书时引用的私钥。这些根证书与私钥一样吗?
关闭,但没有。证书仅包含密钥对的公共一半,以及一些额外信息(所有者名称,发行者名称和签名等)。因此它们永远不会与私钥相同,但它们总是以匹配对的形式出现。
如果有人使用其私钥签署文件,您可以根据存储在其证书中的公钥验证签名。例如,所有颁发的证书都由CA的私钥签名,并根据CA的证书进行验证。
(CA 自己的证书是自己签名的,但实际验证它没有意义,因为它被明确配置为受信任的根。)
因此,最后,您列出的所有条款都指向相同的内容 - 您的新CA具有一个密钥对(私钥和匹配的证书),并使用它来签署所有已颁发的证书。