28. 因此 , CA 的 public key 不能透過網路來傳遞
, 而是內建在系統獲合法軟體裡面
身份驗證問題
29. 反推結論 :
– 只要 CA 的 public key 是可信任的
– 那就可以確定 CA 的證書是可信任的
– 那麼證書的內容與 public key 就是可信任的
– 所用的 public key 加密的 secret key 就能確保
由正確的 server 解開
– 那麼資料就能安全地在 Internet 上交換
身份驗證問題
30. CA 通常有不同的運作模式:
•內部 CA ( Internal CA )
•委外員工 CA ( outsourced employee CA )
•委外客戶 CA ( outsourced customer CA )
•可信任的第三者 CA ( trusted third-party CA )
CA 的運作模式
31. •內部 CA ( Internal CA )
企業機構內部設立 CA 為內部員工發行憑證,辨
識員工職位、授權等級等資料正確性。
藉此建立階級,管制內部資源或資料流向。
CA 的運作模式
32. •委外員工 CA ( outsourced employee CA )
委請其他公司為內部員工發行憑證。
CA 的運作模式
33. •委外客戶 CA ( outsourced customer CA )
委請其他公司為現有或潛在客戶擔任 CA 的工
作。
CA 的運作模式
34. •可信任的第三者 CA ( trusted third-party CA )
具公信力的機構擔任 CA 的工作,發行憑證證明
某人或某公司的公鑰身份。
CA 的運作模式
77. 建立 CA :
● -newca
製作憑證申請書:
● -newreq
簽署憑證
● -sign
CA 腳本操作要點
78. CA 必須修改 openssl.cnf
● basicConstraints=CA:true
Server 端必須同時具備三份檔案:
● Server Key
● Server Cert ( 由 CA 簽署 )
● CA Cert ( 從 CA 複製過來 )
Client 端必須具備檔案:
● CA Cert ( 從 CA 複製過來 )
TLS 設定要點
79. CA 必須修改 openssl.cnf
● basicConstraints=CA:true
Server 端必須同時具備三份檔案:
● Server Key
● Server Cert ( 由 CA 簽署 )
● CA Cert
Client 端必須具備檔案:
● CA Cert
TLS 設定要點