Por que preciso de um certificado para criar meu próprio certificado auto-assinado?

0

Nos últimos dias, eu estava tentando entender a história dos certificados e entendi o princípio principal deles, mas não entendi essa etapa quando criamos um certificado de autoridade de certificação para assinar meu próprio certificado de servidor.

Vou resumir aqui o que eu entendi sobre a criação de novos certificados para usá-los com os serviços no meu servidor e por favor me diga se está tudo certo e me ajude a entender os pontos que eu sinto falta ou não entendo:

  1. Eu criei minha própria chave privada aleatoriamente ( server.key )

  2. Eu gero minha chave pública de acordo com a chave pública anterior ( server.csr ), e esse arquivo é apenas um certificado normal, mas sem assinatura.

  3. Repeti os dois últimos passos para obter ca.key e ca.csr . e deixe-os assinar-se de alguma forma para obter ca.crt (eu não entendo o processo de auto-assinatura aqui).

  4. use-os para assinar meu server.csr para obter server.crt .

Agora, o que eu não entendo, se eu consegui autografar os arquivos na etapa 3, por que eu simplesmente não executei as duas primeiras etapas facilmente e deixei que eles se inscrevessem para obter esse servidor arquivo .crt ?

Acredito que entendi mal o processo de auto-assinatura, mas infelizmente vi muitos vídeos e li muitos artigos, mas nada ajudou a reparar isso.

    
por Mohammed Noureldin 26.01.2016 / 17:12

1 resposta

1

Claro, você poderia fazer isso.

Seu processo completo não é mesmo o que geralmente é chamado de "assinatura automática" - na verdade, você está criando uma hierarquia de CA inteira aqui. Alguns tutoriais recomendam fazer isso para facilitar futuras substituições de certificados - em vez de precisar atualizar todos os clientes para o novo certificado autoassinado, você só precisa fazê-los confiar na CA personalizada uma vez .

Além disso, algumas pessoas usam o termo "auto-assinado" para qualquer certificado que não seja confiável por padrão. Esse uso está errado, já que tecnicamente todos os certificados de CA raiz são auto-assinados também, mas é possível que seu tutorial tenha usado dessa maneira.

    
por 26.01.2016 / 17:22