Certifikaty pro ruzne sluzby a vlastni CA
Jan Houstek
Jan na houstek.net
Pátek Prosinec 28 12:22:51 CET 2007
On Fri, 28 Dec 2007, Dalibor Straka wrote:
>> Jak slyším frázi "podepisovat certifikátem" nebo něco podobného, tak
>> sahám po nabité pistoli. ;)
>>
> Staci verbalni upozorneni ;-).
>
> Bud si anglicky text spatne prekladam, nebo je to pomerne casty jev.
> Koukal jsem treba na http://openvpn.net/howto.html#pki:
> The server will only accept clients whose certificates were signed by
> the master CA certificate (which we will generate below).
>
> Dokonce se mi zda, ze umyslne zamenuji slova certifikat a klic:
> ...a separate certificate (also known as a public key)...
> ...The server only needs its own certificate/key...
>
> Nejaky hint?
Certifikat spojuje identitu s verejnym klicem. Obsahuje tedy nejaky
verejny klic, udaje o vlastnikovi toho klice a pripadne dalsi informace a
podpis. Podpis je hash verejneho klice+identity zasifrovany asymetrickou
sifrou s vyuzitim privatniho klice toho, kdo certifikat vydal (tj. bud
nejake CA, nebo primo privatnim klicem patricim k tomu verejnemu, pak jde
o self-signed certifikat).
K podpisu cehokoliv je potreba privatni klic a jelikoz certifikat privatni
klic neobsahuje, je blbost neco "podepisovat certifikatem". Ve skutecnosti
je tim nejspis mysleno podepsat privatnim klicem, jehoz verejna forma je
v certifikatu, kterym se "podepisuje".
-- HH
Další informace o konferenci Linux