Как проверяется клиентский ssl сертификат? Решил попробовать организовать свой CA (Certificate Authority) для создания и подписи сертификатов OpenVPN. В данный момент вникаю в детали - перечитал множество иструкций, но никак не пойму каким образом проходит проверка подлинности клиентского сертификата, если CA находится на изолированной (не подключенной к интернету) машине. Обращается ли вообще клиент к CA? Если не трудно по подроблее разъясните.
Проверка подлинности клиентского SSL сертификата происходит следующим образом:
Клиент отправляет свой SSL сертификат серверу при установлении соединения.Сервер сверяет сертификат клиента с корневым сертификатом CA, который был использован для его выпуска. Если сертификат клиента подписан корректным корневым сертификатом, он считается доверенным.Если корневой сертификат CA является доверенным в системе сервера (обычно это корневой сертификат операционной системы или браузера), то сертификат клиента считается действительным.Для проверки цепочки доверия при проверке подлинности клиентского сертификата, сервер может запросить промежуточные сертификаты из цепочки доверия.Если все проверки пройдены успешно, сервер устанавливает безопасное SSL соединение с клиентом.
Если ваш CA находится на изолированной машине, вы можете предварительно скачать корневой сертификат от вашего CA и установить его как доверенный на сервере, в том числе и на клиенте. Таким образом, проверка подлинности клиентского сертификата будет происходить без обращения к интернету.
Убедитесь, что промежуточные сертификаты из цепочки доверия также доступны серверу для проверки цепочки доверия. В идеале, цепочка доверия должна быть полностью предоставлена серверу для корректной проверки сертификатов.
Проверка подлинности клиентского SSL сертификата происходит следующим образом:
Клиент отправляет свой SSL сертификат серверу при установлении соединения.Сервер сверяет сертификат клиента с корневым сертификатом CA, который был использован для его выпуска. Если сертификат клиента подписан корректным корневым сертификатом, он считается доверенным.Если корневой сертификат CA является доверенным в системе сервера (обычно это корневой сертификат операционной системы или браузера), то сертификат клиента считается действительным.Для проверки цепочки доверия при проверке подлинности клиентского сертификата, сервер может запросить промежуточные сертификаты из цепочки доверия.Если все проверки пройдены успешно, сервер устанавливает безопасное SSL соединение с клиентом.Если ваш CA находится на изолированной машине, вы можете предварительно скачать корневой сертификат от вашего CA и установить его как доверенный на сервере, в том числе и на клиенте. Таким образом, проверка подлинности клиентского сертификата будет происходить без обращения к интернету.
Убедитесь, что промежуточные сертификаты из цепочки доверия также доступны серверу для проверки цепочки доверия. В идеале, цепочка доверия должна быть полностью предоставлена серверу для корректной проверки сертификатов.