Stoimen Gerenski wrote:
Тъй като става въпрос за сертификати, някой знае ли как може да се подпише сертификат с вече подписан от CA сертификат ? Т.е. certification path-а трябва да е по-дълъг, 3-4 нива?
Regards, Stoimen
"
Дълбочината на доверие се описва с термина "depth" :) а не levels.
За да можеш да подписваш сертификат с вече подписан от CA сертификат, в сертификата, с който ще удостоверяваш направения от теб подпис (който съдържа публичния ключ, комплементарен към частния ти) трябва да имаш поле (X.509 идентификатор) CA:TRUE и това поле да е подписано от издателя на твоя сертификат (това е транзитивност на доверието). Това те прави подудостоверител. Голяма рядкост е някой официален удостоверител да издаде подобен сертификат на някого, защото така все едно го упълномощава да подписва от негово име.
Всъщност, за да стане по-ясно, има два вида удостоверителски сертификати: самоподписани и делегирани.
1) Самоподписан удостоверителски сертификат е винаги върха на пирамидата на доверие в модела X.509 и там полето CA:TRUE е самоподписано (както и другите полета).
2) Делегиран удостоверителски сертификат се издава на подудостоверител и при него нямаме самодписан сертификат, но имаме подписване на полето CA:TRUE от удостоверител, който стои по-горе във веригата на удостоверяване.
Когато удостоверяваш един сертификат подписан от подудостоверител, трябва да подаваш цялата вертификатна верига към клиента: от първия подудостоверител до последния, плюс конкретния подписан от последния сертифкат:)
Ако искаш по-подробно обяснение и това не е ясно... питай тук или си уговори частен разговор с мен за да ти покажа как действа подобна, създадена от мен йерархия.
Поздравви Весо
============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
