当涉及到 PKI 时,我正在与一位同事就“自签名”的含义进行友好的辩论。我们的组织中有一个内部根和从属 CA。我们在内部客户端上导入证书链,以允许信任从我们的内部/私有 CA 颁发的证书。
我的同事认为,自签名证书的定义是不涉及公开信任/商业证书颁发机构的定义。但是,我将自签名证书理解为由它所在的主机创建的证书,并且与任何私有或公共链没有进一步的链接。
我搜索了谷歌,发现两个答案都被吹捧为正确的。我不擅长理解 RFC,这可能是我需要做的才能真正找到这个论点的根源。相反,比我更有知识的人可以帮助解决这个分歧吗?
第 3.2 节的结尾指出:
本规范涵盖两类证书:CA 证书和终端实体证书。CA证书可以进一步分为三类:交叉证书、自颁发证书和自签名证书。
- 交叉证书是 CA 证书,其中颁发者和主体是不同的实体。交叉证书描述了两个 CA 之间的信任关系。
- 自颁发证书是颁发者和主体是同一实体的 CA 证书。生成自发行证书以支持策略或操作的更改。
- 自签名证书是自行颁发的证书,其中数字签名可以通过绑定到证书中的公钥来验证。自签名证书用于传递用于开始认证路径的公钥。
最终实体证书颁发给无权颁发证书的主体。
过去,我与我的一位朋友进行了类似的讨论,因此发表评论:
您和您的朋友/同事都是正确的。但是,您的同事更接近自签名证书 (SSC) 的定义,而您已经研究了它的一个方面。
自签名证书是由它所在的主机创建的证书,并且没有进一步链接到任何链,私有或公共。
这部分是正确的,因为在您的组织中,一位开发人员创建了一个测试/内部应用程序,因此共享了为此创建的自签名证书 (SSC) [公钥],因此即使您可以将其添加到您的根目录中/trusted CA 列出并浏览该应用程序,从而使其成为私有链。
您还可以参考https://aboutssl.org/what-is-self-sign-certificate/,其中有多个答案可以更好地帮助您。
从技术上讲,自签名证书是指证书由其身份证明的同一个人签名。在这里,在签名过程中,私钥由证书本身的所有者(而不是受信任的证书颁发机构)签名。免费提供自签名证书,鼓励互联网用户使用免费的 SSL 证书保护网站。如果网站页面有限且用户数量较少,那么自签名 SSL 证书是一个不错的选择。