我需要对 SSL 证书进行澄清,我有大致的了解,但我不太确定所有的活动部件。
我正在处理的具体问题是关于 Active Directory 服务器证书和需要通过 LDAP 建立连接的设备。
设备需要输入来配置上述内容,其中包含服务器证书和 CA 证书。这叫证书包还是证书链?它们是两个不同的东西还是同义词?
顺便说一句,我不是配置该设备的人,因此我无法更具体说明它需要的输入。在配置过程中,我被要求提供“BEGIN 和 END CERTIFICATE 之间的任何内容,我可以通过 OpenSSL 查看。
我假设可以提供一个包含两个字符串的文件,但我不太确定。
答案1
通常,证书包是指一组证书颁发机构证书,例如这个https://curl.se/ca/cacert.pem包含在 cURL 中。
证书链通常意味着服务器证书及其中间证书链,它们是否都包含在同一个文件中,取决于您的软件提供的配置选项。
例如,Apache HTTP 服务器可以为服务器证书和证书链配置不同的文件。
证书链有时也可以包含叶证书的匹配私钥。
如果您的设备只需要验证 AD/LDAP 服务器的 SSL 证书,则只需要提供 CA 证书;如果您的 AD/LDAP 证书是自签名的,则只需提供服务器证书本身,而无需私钥。