2017-10-10 265 views
-1

根證書是自簽名證書,用於簽署其他證書。自簽名證書和根CA證書是否相同?

我的問題是,我們可以使用任何自簽名SSL證書籤署其他證書,或者有任何數據表明此自簽名證書不能用於簽署其他證書嗎?

+1

相關:https://security.stackexchange.com/questions/112768/why-are-self-signed-certificates-not-trusted-and-is-there-a-way-to-make-them-tru – 2017-10-10 18:16:01

+0

Stack Overflow是編程和開發問題的網站。這個問題似乎與題目無關,因爲它不涉及編程或開發。請參閱幫助中心的[我可以詢問哪些主題](http://stackoverflow.com/help/on-topic)。也許[Unix和Linux堆棧交換](http://unix.stackexchange.com/)或[信息安全堆棧交換](http://security.stackexchange.com/)將是一個更好的地方要問。 – jww

+0

感謝您的鏈接@Hugo –

回答

1

將CA設​​置爲true的基本約束條件的自簽名證書可用作CA證書來簽署其他證書。當然,仍然需要將客戶端配置爲信任此新的根證書,以便可以成功驗證其簽名的證書。

+0

感謝您的回覆@Steffen Ullrich。 因此,正常自簽名證書和根CA證書之間的唯一區別是基本約束? 如果Basic Constraint不是CA,我們不能使用給定的自簽名證書進行簽名? –

+1

@JatinderJindal:通常自簽名證書是使用CA創建的,但也可以使用CA創建一個爲false,只有最後一個至少在基於OpenSSL的應用程序中經常遇到問題。因此,自簽名證書通常也是CA證書,可用於簽署其他證書。如果CA不是真的,理論上可以簽署另一個證書,但簽名在驗證時不應該被接受,因爲它不是由CA創建的。 –

+0

謝謝。 我從你那裏得到的回覆是,它不是被迫標記CA真或假。它只是爲了獲取信息。 對於給定的自簽名證書,CA約束可能是錯誤的,並且它仍可用於簽署其他證書。 因此,我們得出結論,所有自簽名證書都可以用來簽署其他證書。 如果我的理解錯誤,請糾正我。 或者我明白了嗎? 謝謝 –