版上各位前輩 大大好,
小弟最近在處理一個case,
大意是在Client-side及Server-side的CE Router(MPLS)之前,
會放一台設備可以做SSL Proxy的設定。
但我對憑證很不熟,讀了幾次對憑證觀念還是沒建立起來,
所以想請各位大大幫忙,謝謝
0.
如何確認一個憑證是signed by CA or self-signed呢?
1.
CA憑證(又稱root CA對吧?): 這個是由具有公信力的第三方所頒發的憑證,
例如VerSign..等,但我不懂的是,這個憑證我們放到電腦了可以做什麼呢?
2.
像我們瀏覽一些網頁會跳出此憑證不受到信任,而從瀏覽器可以導出該網頁的憑證
加入到我們電腦裡面,這個憑證有些是該設備預設的,如果我們將它的憑證加入至電腦裡
往後電腦就不會再出現不受到信任了,對吧?
問題回到1,要如何確認它的憑證種類呢? 通常self-signed是比較不安全的憑證嗎?
3.
我看之前學長POC的設備裡面,他們的憑證common name是一個 *.domain.com所發起的,
它跟我說這個是商業憑證,這個又更不懂了,像這個憑證是IT將它丟到AD派發給Server
用的嗎? (因為我看他們很多Server的憑證都是顯示跟 *.domain.com 一樣的憑證,
只是* 這個hostname不一樣而已,所以應該是整個domain只信任這個proxy 憑證?
問題很多很複雜... 麻煩各位了
謝謝