IETF 批准
/flickr/
为什么需要这个标准?
每个设置的平均值
每个证书颁发机构的域验证程序可能有所不同。 缺乏标准化有时会导致安全问题。 著名的
IETF批准的ACME协议(规范
该标准是开放的,任何人都可以为其开发做出贡献。 在
怎么开动这个
请求在 ACME 中使用 JSON 消息通过 HTTPS 进行交换。 要使用该协议,您需要在目标节点上安装 ACME 客户端;它会在您第一次访问 CA 时生成唯一的密钥对。 随后,它们将用于对来自客户端和服务器的所有消息进行签名。
第一条消息包含有关域所有者的联系信息。 它用私钥签名并与公钥一起发送到服务器。 它验证签名的真实性,如果一切正常,则开始颁发 SSL 证书的过程。
要获得证书,客户端必须向服务器证明他拥有该域。 为此,他执行某些只有所有者才能执行的操作。 例如,证书颁发机构可以生成唯一的令牌并要求客户端将其放置在站点上。 接下来,CA 发出 Web 或 DNS 查询以从此令牌检索密钥。
例如,对于 HTTP,令牌中的密钥必须放置在将由 Web 服务器提供服务的文件中。 在 DNS 验证过程中,证书颁发机构将在 DNS 记录的文本文档中查找唯一密钥。 如果一切正常,服务器确认客户端已通过验证,并且 CA 颁发证书。
/flickr/
意见
上
在该标准的优点中,专家还指出了几个
类似的解决方案
第一个是由思科系统公司开发的。 其目标是简化颁发 X.509 数字证书的程序并使其尽可能具有可扩展性。 在 SCEP 之前,此过程需要系统管理员的积极参与,并且扩展性不佳。 如今,该协议是最常见的协议之一。
至于EST,它允许PKI客户端通过安全通道获取证书。 它使用 TLS 进行消息传输和 SSL 颁发,并将 CSR 绑定到发送方。 此外,EST 支持椭圆加密方法,这创建了额外的安全层。
上
我们公司博客的其他帖子:
来源: habr.com