Каким образом корневой центр сертификации эмитента устанавливается на клиентском компьютере, когда клиент (динамический) подключается в первый раз к серверу?
Я прочитал об аутентификации сервера через Интернет и узнал, что Root CA эмитента должен быть импортирован в Trusted Root CA как на сервере, так и на клиентских компьютерах для взаимной аутентификации.
Теперь допустим, что это банковское приложение.
Пользователь впервые подключается к банковскому серверу:
- Сервер возвращает сертификат сервера для подтверждения себя клиенту.
- Клиент получает сертификат и проверяет его с помощью доверенного корневого центра сертификации, который ранее подписал этот сертификат сервера.
- Клиент отправляет свой сертификат, а сервер проверяет полномочия доверенного корневого центра сертификации, который ранее подписал этот сертификат клиента.
- Теперь общение начинается.
На шаге 3 я понимаю, что доверенные полномочия корневого ЦС устанавливаются на сервере при его развертывании. Однако на шаге 2, когда клиентский компьютер подключается в первый раз (и может ли он динамически подключаться с любого компьютера), как полномочия корневого ЦС были установлены на клиентском компьютере?
1 ответ
Корневые сертификаты CA обычно предварительно устанавливаются в операционной системе и программном обеспечении (когда программное обеспечение использует свое собственное хранилище доверенных сертификатов). Администраторы могут использовать свои инструменты для развертывания дополнительных корней (которые не являются общими, например, частные корни организации).