IETF 批准
為什麼需要標準?
每個設置的平均值
每個證書頒發機構的域驗證程序可能不同。 缺乏標準化有時會導致安全問題。 著名的
IETF 批准的 ACME 協議(規範
該標準是開放的,任何人都可以為其開發做出貢獻。 在
Какэтоработает
ACME 中的請求使用 JSON 消息通過 HTTPS 進行交換。 要使用該協議,您需要在目標節點上安裝 ACME 客戶端;它會在第一次訪問 CA 時生成一個唯一的密鑰對。 隨後,它們將用於簽署所有客戶端和服務器消息。
第一條消息包含域所有者的聯繫信息。 它用私鑰簽名並與公鑰一起發送到服務器。 它檢查簽名的真實性,如果一切正常,則開始頒發 SSL 證書的程序。
要獲得證書,客戶端必須向服務器證明它擁有該域。 為此,他執行某些僅對所有者可用的操作。 例如,證書頒發機構可以生成一個唯一的令牌並要求客戶將其放置在站點上。 接下來,CA 發出 Web 或 DNS 查詢以從此令牌中提取密鑰。
例如,在 HTTP 的情況下,來自令牌的密鑰必須放在一個文件中,該文件將由 Web 服務器提供服務。 在 DNS 驗證過程中,證書頒發機構將在 DNS 記錄的文本文檔中查找唯一密鑰。 如果一切正常,服務器會確認客戶端已通過驗證,並且 CA 會頒發證書。
/flickr/
意見
上
在該標準的優點中,專家們還指出了幾個
類似的解決方案
第一個是由 Cisco Systems 開發的。 其目標是簡化頒發 X.509 數字證書的程序並使其盡可能具有可擴展性。 在 SCEP 出現之前,這個過程需要係統管理員的積極參與,而且擴展性不好。 今天,這個協議是最常見的協議之一。
至於 EST,它允許 PKI 客戶端通過安全通道獲取證書。 它使用 TLS 進行消息傳遞和頒發 SSL,以及將 CSR 綁定到發件人。 此外,EST 支持橢圓加密方法,從而創建一個額外的保護層。
上
來自我們公司博客的其他帖子:
來源: www.habr.com