Chiarimento sui certificati digitali

3

Ho usato lo strumento makecert per creare:

  1. certificato autofirmato
  2. certificato client

Questi sono i comandi che ho usato:

makecert -n "CN=MatthewCA" -r -sv MatthewCA.pvk MatthewCA.cer **for self signed certificate**

makecert -sk localhost -iv MatthewCA.pvk -n "CN=localhost" -ic MatthewCA.cer localhost.cer -sr localmachine -ss my -sky exchange -pe -b 01/01/2013 -e 01/01/2020 **for client certificate**

I due comandi hanno generato i seguenti file:

  1. MatthewCA.cer
  2. MatthewCA.pvk
  3. localhost.cer

Ho quindi installato MatthewCA.cer nella sezione Trusted Root Authorities in mmc .

Il localhost.cer è stato installato nella sezione Personal in mmc .

Quando visualizzo il certificato di localhost.cer da mmc , viene indicato:

You have a private key that corresponds to this certificate.

Significa che il certificato contiene la chiave privata? Se invio localhost.cer a qualcun altro, possono estrarre la chiave privata? Se sì, come posso separare la chiave privata dal certificato?

    
posta Matthew 27.04.2013 - 16:56
fonte

1 risposta

5

Quando la macchina dice che " tu hai la chiave privata corrispondente a questo certificato", significa che hai la chiave privata che corrisponde al certificato, non che il certificato stesso contenga la chiave privata.

Le chiavi asimmetriche sono disponibili in coppia: la chiave pubblica e la chiave privata. Sono collegati matematicamente tra loro, ma la ricostruzione della chiave privata dalla chiave pubblica è considerata non fattibile (troppo costosa con la tecnologia esistente). Questo è il motivo per cui la chiave pubblica può essere resa pubblica : questa non rivela la chiave privata (che è mantenuta privata).

Il certificato contiene solo la chiave pubblica. Il certificato è intrinsecamente pubblico e può essere mostrato a tutto il mondo. Quando il certificato viene utilizzato in SSL, viene effettivamente inviato, come parte del protocollo, al peer. La chiave privata, ovviamente, rimane privata. Nel tuo caso, la chiave privata è stata generata all'interno delle interiora di Windows e rimane lì . Il file localhost.cer contiene solo il certificato.

(Sfortunatamente, alcune documentazioni designano per "certificato" l'unione del certificato stesso e la chiave privata, questo abuso di terminologia è una grande fonte di confusione: nel mondo Windows, quando un certificato e una chiave privata viaggia insieme come un file, il file segue il formato PKCS # 12 , anche noto come "PFX".)

    
risposta data 27.04.2013 - 18:20
fonte