תיעוד5.1. סוגי תעודות
כדי להגדיר שרת מאובטח באמצעות קריפטוגרפיה של מפתח ציבורי, ברוב המקרים, אתה שולח את בקשת האישור שלך (כולל המפתח הציבורי שלך), הוכחה לזהות החברה שלך ותשלום ל-CA. ה-CA מאמת את בקשת האישור ואת הזהות שלך, ולאחר מכן שולח בחזרה אישור עבור השרת המאובטח שלך. לחלופין, אתה יכול ליצור משלך חתימה עצמית תעודה.
שימו לב שאין להשתמש באישורים בחתימה עצמית ברוב סביבות הייצור.
בהמשך לדוגמה ה-HTTPS, אישור חתום על ידי CA מספק שתי יכולות חשובות שאישור חתום עצמי אינו מספק:
• דפדפנים (בדרך כלל) מזהים אוטומטית את התעודה ומאפשרים חיבור מאובטח מבלי לבקש מהמשתמש.
• כאשר CA מנפיק אישור חתום, הוא מבטיח את זהות הארגון המספק את דפי האינטרנט לדפדפן.
לרוב דפדפני האינטרנט, והמחשבים, התומכים ב-SSL יש רשימה של CAs שאת האישורים שלהם הם מקבלים אוטומטית. אם דפדפן נתקל באישור שה-CA המאשר שלו אינו מופיע ברשימה, הדפדפן מבקש מהמשתמש לקבל או לדחות את החיבור. כמו כן, יישומים אחרים עשויים ליצור הודעת שגיאה בעת שימוש באישור בחתימה עצמית.
תהליך קבלת האישור מ-CA הוא די קל. סקירה מהירה היא כדלקמן:
1. צור זוג מפתחות הצפנה פרטיים וציבוריים.
2. צור בקשת אישור על סמך המפתח הציבורי. בקשת האישור מכילה מידע על השרת שלך ועל החברה המארחת אותו.
3. שלח את בקשת האישור, יחד עם מסמכים המעידים על זהותך, ל-CA. אנחנו לא יכולים להגיד לך באיזו רשות אישורים לבחור. ההחלטה שלך עשויה להתבסס על חוויות העבר שלך, או על חוויות של חבריך או עמיתיך, או אך ורק על גורמים כספיים.
לאחר שהחלטתם על CA, עליכם לעקוב אחר ההוראות שהם מספקים כיצד לקבל מהם אישור.
4. כאשר ה-CA משוכנע שאתה אכן מי שאתה מתיימר להיות, הם שולחים לך אישור דיגיטלי.
5. התקן אישור זה בשרת המאובטח שלך, והגדר את היישומים המתאימים לשימוש באישור.