Có thể tin tưởng một chứng chỉ trong windows, mà không tin vào CA gốc của nó không?

Có thể có được các cửa sổ để tin tưởng một chứng chỉ, mà không cần phải tin tưởng CA gốc như một CA gốc đáng tin cậy?

nói rằng tôi có chuỗi chứng chỉ sau đây,

Dept-Root-CA
Dept-Intermediate-1
Server-Certificate

Tôi muốn tin tưởng vào Chứng chỉ máy chủ, nhưng không muốn tin tưởng Dept-Root-CA vì sau đó nó có thể ký bất kỳ chứng chỉ nào và máy chủ của tôi sẽ tin tưởng vào nó. Chỉ vì tôi sẵn sàng tin tưởng chứng chỉ trên Máy chủ-Chứng chỉ cho một hoạt động cụ thể, không có nghĩa là tôi sẵn sàng tin tưởng rằng Dept-Root-CA đã được bảo mật đúng cách.

cảm ơn

windows ssl

— bkr
nguồn

Chính xác thì bạn muốn tin vào điều gì? HTTPS? Hay một số điều khác? Có nhiều cách chỉ ra rằng bạn muốn chấp nhận một chứng chỉ duy nhất mà không chấp nhận bất cứ điều gì khác từ CA gốc, nhưng nó phụ thuộc vào những gì bạn đang làm. (Bạn vẫn sẽ gặp lỗi nếu bạn cố xác thực chứng chỉ)

— Mark Henderson

Thực chất là có. Nếu đó là mã tùy chỉnh thì đó sẽ không phải là vấn đề - nhưng đây là sử dụng ADFS 2 và điều duy nhất tôi có thể làm liên quan đến cách xử lý chứng chỉ là thay đổi cách máy chủ tin tưởng chứng chỉ đó. Cũng có những trường hợp khác nhưng đây chỉ là ví dụ hiện tại.

— bkr

Câu trả lời:

Không. Miễn là chứng chỉ ghi "Cấp bởi: xxx" thì bạn cũng phải tin tưởng vào xxx, tất cả các cách lên chuỗi. Nếu đó là chứng chỉ tự ký, bạn có thể đặt nó vào cửa hàng Root Root đáng tin cậy và vì nó được cấp và phát hành bởi cùng một thực thể, nên nó sẽ được tin cậy.

Nhưng không, nói chung là không thể hoặc không nên làm hỏng hoàn toàn toàn bộ mục đích bảo mật dựa trên chứng chỉ.

— Ryan Ries
nguồn

Tôi đã lo sợ về nó. Tôi sẽ không gọi nó là lách luật mặc dù. Chỉ vì tôi muốn một kênh an toàn để nói chuyện với một máy trong một nhóm tổ chức khác không có nghĩa là tôi muốn tin tưởng CA của họ.

— bkr

Phải ... nhưng CA đã ký chứng nhận đó và không có chứng nhận CA đó, đầu bên kia chỉ có thể tiếp tục thay đổi chứng chỉ của họ.

— SpacemanSpiff

Tôi không chắc tôi hiểu những gì bạn nói. Tôi muốn rõ ràng tin tưởng chứng chỉ của họ. Nếu nó đã được thay đổi, tôi muốn phải tin tưởng nó một lần nữa. Về cơ bản tôi muốn mô hình ủy thác chứng chỉ giống như có trong Firefox. Trong Firefox, nếu chứng chỉ không hợp lệ theo các CA đáng tin cậy hiện có, bạn có thể chọn tin tưởng bằng mọi cách - nếu nó thay đổi, bạn sẽ phải chọn tin tưởng chứng chỉ mới vì nó không được tin cậy rõ ràng.

— bkr

just keep changing their certificateNếu đầu từ xa thay đổi chứng chỉ của họ, thì nó sẽ không khớp với cái bạn đã lưu. Nếu bạn bỏ qua tất cả các doanh nghiệp CA, không phải bạn chỉ coi nó như một khóa máy chủ SSH.

— Zoredache

thực tế họ sẽ chỉ thay đổi nó 2 năm một lần. sản phẩm MS tôi đang sử dụng yêu cầu kết nối được bảo mật thông qua https. vì vậy nó phải được tin tưởng bởi vì nó đã được ký với CA của họ, tôi sẽ phải tin tưởng CA của họ - Tôi không muốn làm điều đó bởi vì điều đó sẽ cho phép họ giả mạo bất kỳ chứng chỉ nào với máy chủ của tôi, trái ngược với việc cho phép họ tương tác hạn chế với một tên máy chủ cụ thể.

— bkr

Chà .... Bạn có thể nắm bắt thông tin tin cậy đó theo một cách khác.

Thật không may, một chút phức tạp.

Tạo CA của riêng bạn, sau đó tạo nhà phát hành ký chéo của riêng bạn cho Dept-Trung cấp-1 (hoặc Dept-Root-CA) bằng cách ký chứng nhận của họ với CA của bạn, có thể thêm các hạn chế tên miền. Nếu Dep-Trung cấp-1 thực sự bị vô hiệu hóa (tốt nhất) hoặc không xác định, các cửa sổ sẽ sử dụng chuỗi tin cậy của bạn để thay thế.

Xem câu trả lời khác của tôi ở đây: Hạn chế chứng chỉ gốc cho một tên miền

Đây là cách chứng chỉ được cho là hoạt động, sử dụng chữ ký điện tử để thể hiện sự khẳng định quyền sở hữu chính. Vì bạn muốn xác nhận chứng chỉ và khóa thuộc về máy chủ, bạn tự ký tên, dưới quyền của bạn và sau đó báo cho hệ thống tin tưởng bạn.

Vẫn còn rất nhiều tiện ích trong một chứng chỉ mà không có hệ thống phân cấp CA, trên những gì các khóa SSH cung cấp; một phần trong đó là những hạn chế đối với họ. Sử dụng chính, ngày hiệu lực, thông tin thu hồi, hạn chế tên miền, vv .. Phần khác là thông tin nhận dạng; máy chủ sở hữu khóa, danh tính của nhà phát hành, chính sách CA được thi hành, thông tin lưu trữ khóa, v.v.

— davenpcj
nguồn

Hay đấy. Tôi sẽ phải tìm một chút thời gian để thử làm việc trong quá trình này và xem liệu tôi có thể làm cho nó hoạt động không.

— bkr