รหัสส่วนตัวที่ตรงกันของใบรับรอง - จะรับได้อย่างไร

หาก A มีใบรับรองที่ออกโดย CA_X แน่นอน A ควรมีคีย์ส่วนตัวของ ใบรับรอง คำถามของฉันคือ A สร้างคีย์ส่วนตัวด้วยตัวเองหรือ , the รหัสส่วนตัวถูกสร้างขึ้นโดย CA_X และ CA_X ส่งไปยัง A ด้วยวิธีใด

ตามความเข้าใจของฉัน คีย์ส่วนตัวควรสร้างและเก็บไว้โดยผู้ถือ (หรือหัวเรื่อง) ของใบรับรอง รหัสสาธารณะและข้อมูลเพิ่มเติมบางส่วนจะถูกส่งไปยัง CA อย่างไรก็ตาม CA ไม่ควรทราบคีย์ส่วนตัวของใบรับรอง

ความเข้าใจข้างต้นถูกต้องหรือไม่?

มีและเป็นผู้ออกใบรับรองที่ให้บริการสร้างคู่กุญแจ นั่นไม่ควรเป็นวิธีที่ชอบอย่างแน่นอน ประการแรก อนุญาตให้ CA ทำหน้าที่เป็นเอนทิตีที่มีคีย์ส่วนตัว เนื่องจากอาจเก็บไว้ $^1$. ประการที่สอง หมายความว่าการขนส่งคีย์ส่วนตัวจะต้องมีความปลอดภัย สุดท้าย อาจทำให้พื้นที่เก็บข้อมูลปลอดภัยน้อยลง โดยทั่วไปคุณไม่ต้องการให้ใส่ค่าในหน่วยความจำที่ไม่ปลอดภัย ซึ่งอาจถูกสลับไปยังอุปกรณ์จัดเก็บข้อมูล

โดยทั่วไป คุณจะพยายามรักษาคีย์ส่วนตัวให้ปลอดภัยที่สุด โดยทั่วไปหมายความว่าค่าคีย์จะถูกถ่ายโอนเท่านั้น ถ้า จำเป็นต้องมีการสำรองข้อมูล บางครั้งการขอคีย์ใหม่ควรเป็นที่ต้องการ แต่การสร้างคู่คีย์ใหม่หมายความว่าจำเป็นต้องเปลี่ยนใบรับรองด้วย และนั่นอาจใช้ทรัพยากรมากเกินไป (เงิน ค่าใช้จ่ายในการสื่อสาร ขั้นตอนการจัดการคีย์ ฯลฯ) บางครั้งค่าคีย์อาจถูกใช้โดยเซิร์ฟเวอร์ที่เกี่ยวข้องหลายตัว (เช่น สำหรับใบรับรองไวด์การ์ด)

โปรดทราบว่าในการขอใบรับรอง คุณต้องลงนามในคำขอลงนามใบรับรองหรือ CSR โดยใช้คีย์ส่วนตัวเท่านั้น ซึ่งช่วยให้คีย์ส่วนตัวยังคงอยู่ในที่เก็บคีย์ที่ปลอดภัยหรือโทเค็น (ฮาร์ดแวร์) เช่น TPM หรือ HSM แทนที่จะโหลดลงในหน่วยความจำที่ไม่ปลอดภัย

หนึ่งใน CA ที่ให้บริการสร้างคู่คีย์คือ DigiNotar เป็น CA ที่ไม่ปลอดภัยอย่างฉาวโฉ่ที่ล้มละลายหลังจากพบว่าคุณสามารถขอใบรับรองสำหรับโดเมนใดก็ได้

$^1$ แม้ว่าพวกเขาสามารถลงนามในคำขอใบรับรองที่ไม่ถูกต้องได้ก็ตาม โดยหลักการแล้ว พวกเขาไม่ต้องการคำขอจากผู้ใช้รายใดรายหนึ่ง กระบวนการจะค่อนข้างแตกต่างออกไป และโดยปกติแล้วควรลงเอยด้วยการบันทึกการตรวจสอบ หากพวกเขากำลังจะลงนามในคำขอของตนเอง