gpt4 book ai didi

ssl - 用于 TLS/SSL 和身份(签名)的证书之间有区别吗?

转载 作者:行者123 更新时间:2023-12-04 22:38:41 27 4
gpt4 key购买 nike

证书之间有区别吗,比如说来自 Apple 的签名或 Let's Encrypt 的 TLS/SSL?它们是可互换的,还是在生成时是否具有特定的参数,使一个对 ID 有用,一个对加密有用?

最佳答案

根据您的意思,它们要么完全相同,要么不同。 (语言不是很伟大吗?)
代码签名证书和 TLS 服务器证书和 TLS 客户端证书都是 X.509 公钥证书,由 IETF RFC 5280 描述和 ITU-T X.509 (名称从何而来)。
在证书中有一组(n 个可选)扩展(定义明确的扩展是对先前数据版本的刚性结构的扩展)。这些扩展之一称为扩展 key 使用(令人困惑的是,它在 .NET 中由 X509EnhancedKeyUsageExtension 描述),通常缩写为 EKU。 EKU 扩展只是一个标识符列表,用于指示证书有效的用途。 (像 CA/浏览器论坛这样的组织提出了在允许声明每种特定类型的目的之前 CA 必须做什么的规则。)
我在 stackoverflow.com 看到的当前证书有两个列出的用途:1.3.6.1.5.5.7.3.11.3.6.1.5.5.7.3.2 .但是,这些标识符对普通人群来说意义不大,因此许多系统将用更友好的名称替换它们。 Firefox 89 的描述是“服务器认证,客户端认证”。
TLS/SSL 对 EKU 采取宽松的方法:如果证书具有 EKU 扩展,则必须存在 TLS 服务器 (1.3.6.1.5.5.7.3.1) 或 TLS 客户端 (1.3.6.1.5.5.7.3.2) 目的(它所扮演的角色的正确一个),但如果 EKU 扩展不存在,则证书是可以接受的。
RFC 3161 Timestamping不那么松懈。它要求证书具有包含目的 1.3.6.1.5.5.7.3.8 的 EKU 扩展(并且只有其中一个,可以包含多个用途值)。 , 在 section 2.3 .
因此,差异仅在于 EKU 值。

  • TLS 服务器:1.3.6.1.5.5.7.3.1
  • TLS 客户端:1.3.6.1.5.5.7.3.2
  • 代码签名:1.3.6.1.5.5.7.3.3
  • 时间戳:1.3.6.1.5.5.7.3.8

  • 还有很多其他通用的,例如 1.3.6.1.4.1.311.10.3.5(Microsoft Windows 硬件质量实验室驱动程序验证),它们并非都以“1.3.6.1.5.5.7.3”开头。 (尽管有很多常见的)。

    关于ssl - 用于 TLS/SSL 和身份(签名)的证书之间有区别吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68304015/

    27 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com