版上各位前辈 大大好,
小弟最近在处理一个case,
大意是在Client-side及Server-side的CE Router(MPLS)之前,
会放一台设备可以做SSL Proxy的设定。
但我对凭证很不熟,读了几次对凭证观念还是没建立起来,
所以想请各位大大帮忙,谢谢
0.
如何确认一个凭证是signed by CA or self-signed呢?
1.
CA凭证(又称root CA对吧?): 这个是由具有公信力的第三方所颁发的凭证,
例如VerSign..等,但我不懂的是,这个凭证我们放到电脑了可以做什么呢?
2.
像我们浏览一些网页会跳出此凭证不受到信任,而从浏览器可以导出该网页的凭证
加入到我们电脑里面,这个凭证有些是该设备默认的,如果我们将它的凭证加入至电脑里
往后电脑就不会再出现不受到信任了,对吧?
问题回到1,要如何确认它的凭证种类呢? 通常self-signed是比较不安全的凭证吗?
3.
我看之前学长POC的设备里面,他们的凭证common name是一个 *.domain.com所发起的,
它跟我说这个是商业凭证,这个又更不懂了,像这个凭证是IT将它丢到AD派发给Server
用的吗? (因为我看他们很多Server的凭证都是显示跟 *.domain.com 一样的凭证,
只是* 这个hostname不一样而已,所以应该是整个domain只信任这个proxy 凭证?
问题很多很复杂... 麻烦各位了
谢谢