在應用程序中設置證書頒發機構證書是做什麼的？

Question

當應用程序有選擇地允許您指定代表證書頒發機構的證書時，這是幹什麼的？

這是否基本上將該證書設置爲「可信」證書？

具體示例：

Kibana與elasticsearch進行通信。當您配置kibana，您可以設置以下配置值：

elasticsearch.ssl.ca 

文檔說這個值是「可選的設置，允許您指定要爲您Elasticsearch實例的證書頒發機構的PEM文件的路徑。 「 （source）

在同一個配置中，您還指定了可用於與elasticsearch實例進行通信的證書和密鑰。

Answer 1

如果該設置是可選的，則表示默認行爲是使用系統根CA來驗證您的Elasticsearch實例使用的SSL服務器證書。如果您使用標準的商業SSL服務器證書，這應該足夠了。

是的，您將該證書設置爲根CA，但僅限於此應用程序。

使用此設置可以指定用於生成SSL服務器證書的根CA.如果這是有用的：

• 使用自簽名證書
• 使用的根CA，是不是在系統根CA倉庫中
• 需要有嚴格的安全設置限制根CA的子集，由信任你應用。