Điều gì đặc biệt về chứng chỉ ký mã?

Question

Có khác gì so với bất kỳ chứng chỉ nào khác mà tôi có thể tạo thông qua makecert hoặc mua từ một số cơ quan không?

Answer 1

Nó phụ thuộc vào những gì bạn đang làm với nó. Nếu bạn muốn chứng chỉ được trình duyệt chấp nhận trong giao tiếp SSL, thì nó phải có chứng chỉ gốc được cài đặt trong trình duyệt. Các chứng chỉ được tạo ra bởi các nhà chức trách đã có các chứng chỉ gốc được cài đặt trong các trình duyệt.

Nếu bạn đang sử dụng cert chỉ để ký một hội đồng, thì bạn không cần nó. Nó phụ thuộc vào ai đang kiểm tra cert và liệu họ có quan tâm không nếu gốc là một cơ quan được biết.

More đây:

http://en.wikipedia.org/wiki/Root_certificate

Answer 2

Các chứng chỉ được sử dụng để đăng ký phần mềm là cùng một chứng chỉ đó sẽ được sử dụng để đăng bất kỳ tài liệu. Có gì khác biệt về ký phần mềm là nơi chữ ký cuối cùng cư trú. Trong một bản ghi tài liệu điển hình, chữ ký chỉ được thêm vào tài liệu gốc. Bạn không thể nối thêm chữ ký vào hầu hết các loại phần mềm vì lý do rõ ràng (một số ngôn ngữ thông dịch sẽ cho phép điều này, nhưng tôi không biết nếu nó được thực hiện trong thực tế).

Các giải pháp cho vấn đề chữ ký khác nhau tùy theo môi trường thực thi. Đối với một tệp nhị phân thực thi, chữ ký thường được lưu trữ trong một tệp riêng biệt. Trong Java, bạn có thể có một chữ ký được nhúng trong một tệp JAR thực thi.

Microsoft có tham chiếu tốt cho số introduction to the signing process.

Answer 3

Tôi cũng muốn thêm rằng một phiên bản .NET phải được đặt tên mạnh (yêu cầu phải được ký) để được thêm vào GAC.

Có nhiều loại khác nhau của Certs ... từ CA được đóng gói trong Win server 2003, bạn có thể yêu cầu:

• xác nhận khách
• bảo vệ Email
• Server authentication
• Mã ký
• Ký tem thời gian
• IPSec
• Khác

Answer 4

Để hiểu biết của tôi, chứng chỉ có thuộc tính "sử dụng khóa" mô tả những gì sử dụng chứng chỉ dành cho: Máy chủ SSL, ký mã, ký e-mail, v.v. Vì vậy, tôi nghĩ điều đó tùy thuộc vào Hệ điều hành, hoặc trình duyệt web, hoặc ứng dụng e-mail, để kiểm tra các bit này.

Answer 5

Khi một cert được gọi là hành động, vai trò mà nó dự định thực hiện cũng quan trọng như nhận dạng. Nó không chỉ là về danh tính, mà còn về vai trò ủy quyền. Một chứng chỉ bảo vệ email sẽ không thể thực hiện xác thực máy chủ. Các mối quan tâm về an ninh quy định một hạn chế cần thiết trong quyền lực được đưa ra thông qua một chứng chỉ duy nhất. API cơ bản nên thực thi việc sử dụng chính xác, có thể là thông qua hệ điều hành hoặc một sự trừu tượng như .NET Framework.

Có nhiều loại chứng chỉ khác nhau vì có vai trò rất khác nhau trong xác thực và ủy quyền cần chúng. Việc cho phép các loại chứng chỉ và phân cấp khác nhau cho phép mô hình chuỗi chứng chỉ, như được tìm thấy trong "Đường dẫn chứng nhận" trên chứng chỉ.Chứng chỉ Xác thực Máy chủ sẽ cần phải có chứng chỉ CA cấp cao nhất ở đâu đó trong chứng chỉ gốc đáng tin cậy ... hoặc là một phần của một cây gia đình có chứng chỉ cuối cùng. Cơ quan cấp chứng chỉ của bên thứ ba, tôi chắc chắn, định giá chúng trên thang điểm về chức năng và sự tin cậy.

Khởi động lên đầu là đúng ... có thuộc tính Sử dụng khóa nâng cao cung cấp mô tả về xác nhận của vai trò (ví dụ: Xác thực máy chủ; hoặc trong trường hợp chứng chỉ CA của tôi: Kỹ thuật số Chữ ký, ký chứng chỉ, ký CRL ngoại tuyến, ký CRL). Nhìn vào các chi tiết trong thuộc tính của chứng chỉ và bạn sẽ tìm thấy nó.

Answer 6

Như được đề cập bởi Mile L và Khởi động lên đầu Cách sử dụng khóa mở rộng là điều xác định mục đích mà khóa có thể được sử dụng.

Hầu hết chứng chỉ thương mại (Verisign et al) cấp chứng chỉ cho các mục đích duy nhất hoặc ít nhất có thể.

Họ sử dụng tính năng này để thu hẹp các thị trường khác nhau cho chứng chỉ và sau đó định giá cho phù hợp.

Bạn thấy chúng bán các ký hiệu Đối tượng khác nhau cho Windows Assemblies/Java/Office/Adobe Air, vv khi (trong hầu hết các trường hợp) chứng chỉ kết quả giống nhau.

Ví dụ: chứng chỉ Comodo codesigning được cấp ở đây có thể ký các ứng dụng Java, ứng dụng WebStart, tiện ích Firefox và thậm chí cả các hội đồng Windows.