ฉันมีเว็บเซิร์ฟเวอร์ของ Windows และโดยปกติแล้วฉันจะติดตั้ง ca-authority ใน "LocalMachine\Root" และใบรับรอง PFX ตัวกลางใน "LocalMachine\My" ทุกอย่างทำงานได้ดี ตอนนี้ฉันสงสัยว่าในระหว่างการสร้างใบรับรอง PFX ฉันได้รวม ca-bundle แล้ว ฉันจะหลีกเลี่ยงการติดตั้ง ca-authority ใน "LocalMachine\Root" และเพียงแค่ติดตั้ง PFX ที่มี Bundle-ca ใน "LocalMachine\My" ได้หรือไม่
โดยปกติแล้วใบรับรอง CA รูทจะถูกติดตั้งที่ปลายด้านตรงข้ามของการเชื่อมต่อ TLS กับใบรับรองในไฟล์ PKCS#12 (PFX)
หากไฟล์ PKCS#12 มีใบรับรองการรับรองความถูกต้องของไคลเอ็นต์พร้อมกับคีย์ส่วนตัวและใบรับรองของ CA ที่ออกให้ (และใบรับรอง CA ระดับกลางอื่นๆ ที่เป็นไปได้) ห่วงโซ่จะถูกติดตั้งในอุปกรณ์ของคุณและใช้เพื่อรับรองความถูกต้องของคุณกับเซิร์ฟเวอร์ระยะไกล เซิร์ฟเวอร์นั้นควรติดตั้ง root CA ไว้ในที่เก็บ trust-anchor หากเชื่อถือ CA รูทนั้น ซึ่งจะใช้เพื่อตรวจสอบใบรับรองจาก PKCS#12 ที่นำเสนอโดยไคลเอ็นต์
ในทำนองเดียวกัน หากไฟล์ PKCS#12 มีใบรับรองการตรวจสอบความถูกต้องของเซิร์ฟเวอร์พร้อมกับคีย์ส่วนตัวและใบรับรองของ CA ที่ออกให้ (และใบรับรอง CA ระดับกลางอื่นๆ ที่เป็นไปได้) ห่วงโซ่จะถูกติดตั้งในเซิร์ฟเวอร์ของคุณและใช้เพื่อรับรองความถูกต้องให้กับคุณ อุปกรณ์. อุปกรณ์ของคุณควรมี CA รูทติดตั้งอยู่ในที่จัดเก็บ trust-anchor หากคุณเชื่อถือ CA รูทนั้น ซึ่งใช้เพื่อตรวจสอบใบรับรองจาก PKCS#12 ที่เซิร์ฟเวอร์แสดง
กล่าวได้ว่า PKCS#12 เป็นเพียงคอนเทนเนอร์ ดังนั้นจึงอนุญาตให้ใช้ใบรับรองและคีย์ผสมอื่นๆ ได้ แต่กรณีข้างต้นเป็นกรณีการใช้งานทั่วไปสองกรณี
หากคุณติดตั้งใบรับรองทั้งหมดภายใน PKCS#12 ไม่ได้หมายความว่าคุณเชื่อถือใบรับรอง CA หลักใดๆ ภายใน ใคร / สิ่งที่คุณไว้วางใจไม่ใช่ทวิภาคี - เป็นทางเลือกของคุณ คุณต้องเลือกตัวเลือกนั้นอย่างชัดเจนเพื่อให้มั่นใจถึงความสมบูรณ์ของระบบ
ตัวอย่างเช่น หากคุณติดตั้ง PKCS#12 บนเบราว์เซอร์ Firefox เพื่อให้คุณสามารถเข้าสู่ระบบเว็บไซต์ได้ การติดตั้ง CA รูทใดๆ ภายใน PKCS#12 ใน trust-anchor store ของ Firefox โดยอัตโนมัตินั้นไม่สมเหตุสมผล คุณอาจไม่ต้องการเชื่อถือ CA รูทนั้นในการยืนยันเว็บเซิร์ฟเวอร์ สำหรับการยืนยันไคลเอนต์เท่านั้น นั่นคือ มันไม่ได้ขึ้นอยู่กับนักพัฒนา Firefox ที่จะตัดสินใจเลือกรูท CA ที่คุณเชื่อถือ
ในทำนองเดียวกัน หากคุณติดตั้ง PKCS#12 ในเซิร์ฟเวอร์ Windows เซิร์ฟเวอร์ดังกล่าวสามารถแสดงใบรับรองเหล่านั้นแก่ไคลเอ็นต์ใดๆ ที่เชื่อมต่อกับไคลเอ็นต์ และไคลเอ็นต์เหล่านั้น (หากมีใบรับรอง CA รูทที่ติดตั้งในที่เก็บ trust-anchor) จะเชื่อถือเซิร์ฟเวอร์ อย่างไรก็ตาม นั่นไม่ได้หมายความว่าคุณต้องการเชื่อถือใบรับรองอื่นๆ ที่แสดงบนเซิร์ฟเวอร์ของคุณจาก CA รูทนั้นโดยอัตโนมัติ เช่น ใบรับรองการรับรองความถูกต้องของไคลเอ็นต์
บรรทัดล่างคือ - ขึ้นอยู่กับคุณที่จะตัดสินใจว่าจะเชื่อถืออะไร
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
