Forum
Hızımı alamayıp sertifikalarla ilgili kafama takılan birkaç hususu da aydınlanmak için sorabilir miyim, müsadenizle.
1.a.Yetkili bir CA in (Verisign veya bizim Windows serverda kurduğumuz CA) kök sertifikasını Güvenilir kök sertifikalar bölümüne yüklediğimizde, bu CA den sertifika alan bir sunucu(örneğin webserver) ın aldığı sertifikanın içindeki hangi özelliklere bakılarak , bir istemci bu webserverın güvenilir olduğunu anlıyor bunu anlayamıyorum?İstemci webserverın sertifikası içindeki Public key'e bakarak mı anlıyor?
b.CA in kök sertifikasını yüklemeden beilgisayarımıza bu CA den bir sertifika isteyerek yüklesek(mesela EFS sertifikası), o zaman da aynı CA den sertifika alan bir webserverın güvenilir olduğunu bilgisayarımız anlayabilir mi?
2.Bu kök sertifika CA ilk kurulduğunda oluşan ve bir kez oluşan bir şey midir? Bir CA farklı amaclar icin kendinden sertifika isteyenlere bircok sertifika verebilir, fakat kök sertifika sadece 1 tane midir?
3.Bu CA lerin kök sertifikaları certmgr.msc komutu ile açılan Certificates penceresinde illaki Güvenilir kök sertifikalar bölümünde mi olmalı. Başka bir klasörde de olabilir mi?Burdaki klasörler sadece bizim düzenli çalışmamız için mi yapılmış?
4. Sertifikalar üzerinde amaçlar yazıyor.Mesela şifreleme, dijital imza gibi, authentication gibi. Bu amaçlar bilgi için mi yoksa gerçekten bu amaçlar dışında kulanılamaz mı? Mesela ben özelliklerinde şifreleme yazan bir sertifikayı dijital imzalama için kullanamam mı? Sadece veri şifreleme için mi kullanabilirim?Aynı şekilde authentication için olanı dijital imza için kullanamam mı?
5. Bazı kök sertifikalarda kullanım amacı olarak "protects e-mail messages" gibi amaclar var. Bunu anlayamadım, çünkü zaten mailler korunmak istenirse bunun icin client a sertifika isterse verilir. Kök sertifikanın amacı sistemimize yüklenmesi ve bu CA den sertifika alanlara güvenmemiz değil mi sadece?
Teşekkür ederim
Merhaba oncelikle bu konudaki makalemizi okumaniz gerektigini anliyorum:
1 - her sertifika root sertifikanin thumprintini barindirir, b - hayir
2 - evet, kurulumda olusur, ama yenilenebilir
3 - evet orada bulunmali, yoksa guven saglanmaz
4 - evet kullanilamaz, sifreleme icin olani imzalama icin kullanamazsiniz
5 - kullanim amacindan kastiniz template icine girip applicatin policies kismindan mi bakiyorsunuz ?_
Hocam döküman karıştırdım biraz ama şu thumbprint i anlayamadım.Kavramlar karışık geldi, bağışlayın ama daha açıklayıcı yazıcam evet hayır demniz yeterli size zahmet olmasın
1.CA tarafından verilmiş olan bir sertifikayı görüntülerken thumbprint bilgisi görüntüleniyor, bu bilgi sertifikanın içinde bulunan bilgi. Bu root sertifikanın hash i alınarak ortaya çıkan thumbprint bilgisi mi oluyor?
CA in Root sertifikasına baksak ordaki thumbprint değeri aynı mı bununla?
2.Bu CA in verdiği her çeşit ve amaçlı sertifikada bu değer aynı mıdır?
3.CA root sertifikası içindeki thumbprint, thumbprint algoritması ve signature algoritması bilgilerini ve , yine Clienta verilen sertifikalardaki thumbprint, thunmprint algoritması ve signature algoritması bilgilerini farklı yorumlamak gerekiyor sanki.
Çünkü CA verdiği sertifikanın hash ini alıyor sonra kendi private key i ile imzalıyor. Bu dijital imza oluyor. O zaman biz CA in verdiği bir sertifikada bu dijital imza bilgisini göremiyoruz. Yani sistem bize göstermiyor. hash(thumbprint bilgisini de göremiyoruz) thumbprint olarak gördüğümüz şey CA root sertifikasının hash i yani thumbprint i. Fakat CA root sertifikasına baktığımızda gördüğümüz thumbprint CA in root sertifikasının hash i demek doğru mu?
4.Hocam CA root sertifikası içindeki public key, thumbprint, thumbprint algoritması ve signature algoritması bize neyi anlatır,
CA tarafından verilen sertifika içindeki public key, thumbprint, thumbprint algoritması ve signature algoritması bize neyi anlatır bunları acıklayablirmisiniz?
Neden soruyorum çünkü clienta verilen bir sertifika örneğin digital imza sertifikasıysa bu, bir dataya dijital olarak imza atmadan önce hash alacak, bu hashi neye göre alacak, bu bilgi sertifikada göremediğimiz bir yerdemi, görebildiğimiz bilgiler benim düşündüğüm şeyler çıkmaması kafamı karıştırdı.
Merhaba, oncelikle asagidaki makaleyi okudunuz mu
http://www.cozumpark.com/blogs/gvenlik/archive/2010/09/25/sertifika-ve-ssl-kavramlar.aspx
Hocam dökümanı ben de okudum, şu hususları anlamak için sormak istiyorum
1.Dökümanın bir kısmında CA verdiği sertifikanın public key inin hash bilgisini kendi private key i ile imzalıyor diyor aslında sadece public key i değil verdiği sertifikanın tamamını kendi private key i ile şifrelemesi böylece dijital imzasını atması
daha mantıklı geliyor bana. Doğrusu hangisi?
ve bunun için CA dijital imzasında root sertifikasının private key ini mi kullanıyor, yoksa başka bir sertifika mı oluşturuyor kendine?
2.SSL li bir siteye bağlanınca client a gelen sertifika içinde public key in olduğunu ve public key hash inin CA in private key i ile şifrelendiğini düşünelim. XP Clientın sertifikaların göründüğü konsol penceresinde trusted kök sertifikalar bölümüne bakarsak mesela Verisign için 1 den fazla root sertifika var. Verisign dan sertitika alan bir ssl li siteye bağlanmak isteyen Client, Verisign ın birden fazla root sertifikası içinden hangisinin içindeki public key in kullanacağını nerden biliyor, ki bu key CA in private key i ile şifrelenen hash in şifresiz halini bulmaya yarasın?
3. Bir önceki cevabınızda her sertifika CA in thumbprint bilgisini taşıyor demişsiniz. Bundan kastınız benim yukarıda ilk soruda bahsettiğim dijital imza mı, yoksa sertifikanın içindeki thumbprint bilgisi mi? Zira sertifikadaki thumbprint bilgisi o sertifikanın bir algoritmasıyla alınan hash bilgisini ifade ediyor diye biliyorum.