AW: Eigene CA
Hi Jörg!
>>>>Anm.: Selbstsignierte Certs gehen nicht, da diese auf einem
>>>> geonwnten Server ja gefälscht werden können.
>>>>
>>>Dies versteh ich in diesem Zusammenhang allerdings nicht.
>>
>> Selbstsignierte Certifikate können nicht überprüft werden...
>> Bei einem von einer CA signiertem Cert reicht ein klick zum testen.
>
>Und wer signiert CA cert's? ...
>Es gibt keinen technischen Unterschied zwischen einer Root CA und
>einer eigenen CA (die in dem jeweiligen Kontext ebenso eine Root CA
>darstellt).
>Auch Root CA's sind selbstsigniert, bestenfalls signieren sich die
>Root CA's gegenseitig. Das ist das Wesen einer Root CA, sie steht
>halt an der Wurzel.
Für Deinen Fall würde ich einfach allen Roots nicht trauen,
eine eigene Root-CA (ja, mit self-signed-CA) aufsetzen, alle
clients trauen dann explizit nur dieser Root-CA, und sämtliche
Zertifikate für Rechner werden durch diese Root-CA signiert.
Alle clients kennen also nur deine Root und die Server sind
absolut trusted... (sofern du den Private-Key deiner Root-CA
usw gut aufbewahrst, wie bereits früher vorgeschlagen ;;-) )
So ist doch kein Zertifikat fälschbar, oder was stellst du dir da noch
für Hacks vor?
Und ähm ... schöne Festtage!
+-------------------------------+ +-------------------------------+
| Miro Dietiker | | MD Systems Miro Dietiker |
+-------------------------------+ +-------------------------------+
Reply to:
- References:
- Re: Eigene CA
- From: Joerg Zimmermann <joerg.zimmermann@arachno.de>