自签名证书与证书签名请求有何不同?

自签名证书与证书签名请求有何不同?

来自维基页面证书签名请求

在公钥基础设施 (PKI) 系统中,证书签名请求(也称为 CSR 或认证请求)是申请人向证书颁发机构发送的消息,用于申请数字身份证书。

来自维基页面自签名证书

在密码学和计算机安全中,自签名证书是由其所认证身份的同一实体签署的身份证书。此术语与实际执行签名程序的个人或组织的身份无关。从技术角度来说,自签名证书是使用其自己的私钥签名的证书。

因此听起来有人会提交企业社会责任加州得到一个数字身份证书。此数字身份证书可能与自签名证书的格式相同(例如公钥密码标准 12 格式)。

关键区别在于:自签名证书由拥有证书的同一方签名。私钥,而证书颁发机构在收到证书签名请求后返回的数字身份证书是使用证书颁发机构的私钥进行签名的。

因此自签名证书保证可以起到加密的作用但不能起到识别的作用,而来自证书颁发机构的数字识别证书可以保证可以起到加密和识别的作用。

对吗?希望通过例子来解释。

答案1

自签名证书是由拥有私钥的同一方签名的,而证书颁发机构在收到证书签名请求后返回的数字身份证书是使用证书颁发机构的私钥进行签名的。

那是对的。

因此自签名证书保证可以起到加密的作用但不能起到识别的作用,而来自证书颁发机构的数字识别证书可以保证可以起到加密和识别的作用。

这有点棘手。CA 签名的证书仅在身份识别方面值得信任,因为 CA 包含在浏览器/操作系统内置的预填充证书存储中。如果我没有预填充的证书存储,它们都不会被信任。

如果我下载并验证了该自签名密钥的证书并将其添加到我的证书存储区中,那么我可以在所有用途上信任它。

因此,从技术角度来看,唯一的区别是您的自签名证书不会内置到我的浏览器/操作系统中。

答案2

好吧,只要您“信任”签署证书的CA,您就可以确保情况是安全的。

您通常通过在您的环境中安装 CA 证书(签名者)来执行此操作,以便它自动识别由该 CA 签名的证书并将其视为“受信任的”。

(抱歉,我还不能发表评论,所以我不得不使用回复按钮)

举一个具体的例子,在我的公司,我们确实有自己的 CA,并且我们在每个 Web 浏览器中都安装了 CA 证书(无论是 IE、Firefox 等),当 CA“签署”我们的 SSL 证书(用于内部网、应用程序等。在 SSL/TLS 中监听)并且我们访问这些应用程序时,它们会被自动识别为安全的,您无需单击特定的警告横幅,说明正在使用的证书不受信任(因为它们要么是自签名的,要么由未知的 CA 或我们不信任的 CA 签名)

答案3

CA 是用于签署证书的机构,CSR 是您发送给 CA 的请求,以便他们通常无需密钥即可为您签署证书。

例如,您可以去 CA 申请证书,他们会询问您什么信息,然后他们会生成一个密钥和一个带有 CSR 的证书,密钥是相同的,他们只会生成一个新证书,有时具有不同的属性,例如有效期等...

相关内容