История изменений
Исправление cylon17, (текущая версия) :
давай на примере, настройки для apache:
SSLEngine on
SSLCertificateFile /pki/server.crt
SSLCertificateKeyFile /pki/server.key
SSLCACertificateFile /pki/ca.crt
SSLVerifyClient require
са - это корневой сертификат. Сертификат это публичный ключ с доп. информацией. Качни easyrsa и почитай это баш скрипт для создания свойей pki.
Для понимания, есть пара ключей приватный и публичный. Добавив к публичному ключу дополонительную информацию мы получаем сертификат. Так же приватным ключом корневого сертификата мы можем подписывать запросы и выдавать сертфикаты, которые по сути тоже просто публичные ключи со своей доп.инфой, конкретно с подписью и на что эта подпись распространяется.
Имея ключ клиента/сервера, формируется запрос (это тот же публичный ключ с доп инфой) для его подписания. Дальше это запрос подписывается приватным ключом корневого сертификата и получается сертификат для клиента/сервера.
В этой схеме центр авторизации CA не знает приватных ключей тех кому он подписывет запросы, и клиенты CA не знают приватный ключ CA.
Короче еще раз :) сертификат это публичный ключ + доп. инфо.
Исправление cylon17, :
давай на примере, настройки для apache:
SSLEngine on
SSLCertificateFile /pki/server.crt
SSLCertificateKeyFile /pki/server.key
SSLCACertificateFile /pki/ca.crt
SSLVerifyClient require
са - это корневой сертификат. Сертификат это публичный ключ с доп. информацией. Качни easyrsa и почитай это баш скрипт для создания свойей pki.
Для понимания, есть пара ключей приватный и публичный. Добавив к публичному ключу дополонительную информацию мы получаем сертификат. Так же приватным ключом корневого сертификата мы можем подписывать запросы и выдавать сертфикаты, которые по сути тоже просто публичные ключи со своей доп.инфой, конкретно с подписью и на что эта подпись распространяется.
Имея публичный ключ клиента/сервера, формируется запрос (это тот же публичный ключ с доп инфой) для его подписания. Дальше это запрос подписывается приватным ключом корневого сертификата и получается сертификат для клиента/сервера.
В этой схеме центр авторизации CA не знает приватных ключей тех кому он подписывет запросы, и клиенты CA не знают приватный ключ CA.
Короче еще раз :) сертификат это публичный ключ + доп. инфо.
Исправление cylon17, :
давай на примере, настройки для apache:
SSLEngine on
SSLCertificateFile /pki/server.crt
SSLCertificateKeyFile /pki/server.key
SSLCACertificateFile /pki/ca.crt
SSLVerifyClient require
са - это корневой сертификат. Сертификат это публичный ключ с доп. информацией. Качни easyrsa и почитай это баш скрипт для создания свойей pki.
Для понимания, есть пара ключей приватный и публичный. Добавив к публичному ключу дополонительную информацию мы получаем сертификат. Так же приватным ключом корневого сертификата мы можем подписывать запросы и выдавать сертфикаты, которые по сути тоже просто публичные ключи со своей доп.инфой, конкретно с подптсью и на что это подпись распространяется.
Имея публичный ключ клиента/сервера, формируется запрос (это тот же публичный ключ с доп инфой) для его подписания. Дальше это запрос подписывается приватным ключом корневого сертификата и получается сертификат для клиента/сервера.
В этой схеме центр авторизации CA не знает приватных ключей тех кому он подписывет запросы, и клиенты CA не знают приватный ключ CA.
Короче еще раз :) сертификат это публичный ключ + доп. инфо.
Исправление cylon17, :
давай на примере, настройки для apache:
SSLEngine on
SSLCertificateFile /pki/server.crt
SSLCertificateKeyFile /pki/server.key
SSLCACertificateFile /pki/ca.crt
SSLVerifyClient require
са - это корневой сертификат. Сертификат это публичный ключ с доп. информацией. Качни easyrsa и почитай это баш скрипт для создания свойей pki.
Для понимания, есть пара ключей приватный и публичный. Добавив к публичному ключу дополонительную информацию мы получаем сертификат. Так же приватным ключом корневого сертификата мы можем подписывать другие сертфикаты, которые по сути тоже просто публичные ключи со своей доп.инфой.
Имея публичный ключ клиента/сервера, формируется запрос (это тот же публичный ключ с доп инфой) для его подписания. Дальше это запрос подписывается приватным ключом корневого сертификата и получается сертификат для клиента/сервера.
В этой схеме центр авторизации CA не знает приватных ключей тех кому он подписывет запросы, и клиенты CA не знают приватный ключ CA.
Короче еще раз :) сертификат это публичный ключ + доп. инфо.
Исходная версия cylon17, :
давай на примере, настройки для apache:
SSLEngine on SSLCertificateFile /pki/server.crt SSLCertificateKeyFile /pki/server.key SSLCACertificateFile /pki/ca.crt SSLVerifyClient require
са - это корневой сертификат. Сертификат это публичный ключ с доп. информацией. Качни easyrsa и почитай это баш скрипт для создания свойей pki.
Для понимания, есть пара ключей приватный и публичный. Добавив к публичному ключу дополонительную информацию мы получаем сертификат. Так же приватным ключом корневого сертификата мы можем подписывать другие сертфикаты, которые по сути тоже просто публичные ключи со своей доп.инфой.
Имея публичный ключ клиента/сервера, формируется запрос (это тот же публичный ключ с доп инфой) для его подписания. Дальше это запрос подписывается приватным ключом корневого сертификата и получается сертификат для клиента/сервера.
В этой схеме центр авторизации CA не знает приватных ключей тех кому он подписывет запросы, и клиенты CA не знают приватный ключ CA.
Короче еще раз :) сертификат это публичный ключ + доп. инфо.