Les certificats racine sont des certificats auto-signés et sont utilisés pour signer d'autres certificats.Le certificat auto-signé et le certificat CA racine sont-ils identiques?
Ma question est: pouvons-nous utiliser un certificat SSL auto-signé pour signer d'autres certificats ou des données indiquent-elles que ce certificat auto-signé ne peut pas être utilisé pour signer d'autres certificats?
Un certificat auto-signé dont la contrainte de base est définie sur true peut être utilisé comme certificat d'autorité de certification pour signer d'autres certificats. Bien sûr, le client doit toujours être configuré pour faire confiance à ce nouveau certificat racine afin que les certificats qu'il a signés puissent être validés avec succès.
Merci pour la réponse @Steffen Ullrich. Ainsi, la seule différence entre un certificat auto-signé normal et un certificat d'autorité de certification racine est les contraintes de base? Et nous ne pouvons pas signer en utilisant un certificat auto-signé donné, si la contrainte de base n'est pas CA? –
@JatinderJindal: Habituellement, les certificats auto-signés sont créés avec CA true mais on pourrait aussi en créer un avec CA false, seulement que le dernier donne souvent des problèmes au moins avec les applications basées sur OpenSSL. Ainsi, un certificat auto-signé est généralement un certificat CA et peut être utilisé pour signer d'autres certificats. Si CA n'est pas vrai, on peut en théorie signer un autre certificat, mais la signature ne devrait pas être acceptée lors de la validation puisqu'elle n'a pas été créée par une AC. –
Merci. Ce que je reçois de votre réponse, c'est qu'il n'est pas obligé de marquer CA vrai ou faux. C'est juste pour l'information. La contrainte CA peut être fausse pour un certificat auto-signé donné et peut toujours être utilisée pour signer d'autres certificats. Donc, il nous faut conclure que tous les certificats autosignés peuvent être utilisés pour signer d'autres certificats. Veuillez me corriger si ma compréhension est fausse. Ou je comprends bien? Merci –
Connexes: https://security.stackexchange.com/questions/112768/why-are-self-signed-certificates-not-trusted-and-is-there-a-way-to-make-them-tru –
Stack Overflow est un site de questions de programmation et de développement. Cette question semble être hors sujet car il ne s'agit pas de programmation ou de développement. Voir [Quels sujets puis-je poser à ce sujet?] (Http://stackoverflow.com/help/on-topic) dans le centre d'aide. Peut-être [Unix & Linux Stack Exchange] (http://unix.stackexchange.com/) ou [Information Exchange Stack Exchange] (http://security.stackexchange.com/) serait un meilleur endroit à demander. – jww
Merci pour le lien @Hugo –