【发布时间】:2018-04-30 07:21:48
【问题描述】:
首先我必须说我在数字签名和 PKI 方面有点新。 关于整个 PKI 基础设施的工作方式,我有几个问题。 假设我有一个安全令牌,其中包含我的私钥 + 我的有效最终实体证书。因此我可以毫无问题地签署文件。我正在使用证书颁发者提供的软件来执行此操作。
- 假设我将签名文件发送给使用其他发行者软件的人,他们是否能够验证签名?我主要关心的是他们将如何获取根证书和中间证书来构建证书链/我们正在谈论Authority Information Access字段为空/的情况/?建链不是签名验证的第一步吗?
- 在我看来,证书颁发者提供的软件在计算机上安装了中间证书和根证书。对吗?
- 如果有办法从 Internet 上找到所有这些中间/根证书 - 我可以在哪里找到它们?
不久前,我有一个想法来创建一个可以使用任何令牌来签署消息的应用程序,并验证任何签名者发送的消息。我们正在谈论链验证、CRL 和 OCSP 检查。这可能吗?
【问题讨论】:
-
一般做法是,整个证书链(包括所有中间证书)都应包含在签名中。否则,没有可靠的方法来获取丢失的证书来建立对签名的信任。
-
如果安全令牌不包含它们/仅包含最终实体证书/,我将如何包含它们。我应该从哪里得到它们?
-
安全令牌应包含证书链,以便您可以将中间证书添加到签名中。证书颁发机构必须分发它们,通常在网页中,并且在颁发证书时发送它们。验证方只需要知道根 CA 证书。
标签: certificate digital-signature bouncycastle x509