এসএসএল সম্পর্কিত একটি শংসাপত্র এবং কী এর মধ্যে পার্থক্য কী?


126

আমি যখনই এসএসএল সম্পর্কে কিছু বোঝার চেষ্টা করি তখনই আমি "কী" এবং "শংসাপত্র" কী উল্লেখ করি তা ট্র্যাক রাখতে আমার সবসময়ই একটি কঠিন সময় থাকে। আমি আশঙ্কা করি যে অনেকে এগুলি ভুল বা বিনিময়যোগ্যভাবে ব্যবহার করে। কী এবং শংসাপত্রের মধ্যে কোনও স্ট্যান্ডার্ড পার্থক্য রয়েছে?


SSL এর জন্য ব্যবহার করা শংশাপত্র প্রচন্ডভাবে PKI উপর ভিত্তি করে তৈরি en.wikipedia.org/wiki/Public-key_cryptography
Zoredache

উত্তর:


114

একটি শংসাপত্রে একটি সর্বজনীন কী থাকে।

শংসাপত্রটিতে পাবলিক কী থাকা ছাড়াও অতিরিক্ত তথ্য যেমন ইস্যুকারী, শংসাপত্রটি কী ব্যবহার করা হবে এবং অন্যান্য ধরণের মেটাডাটা রয়েছে।

সাধারণত, একটি শংসাপত্র নিজেই সিএর ব্যক্তিগত কী ব্যবহার করে একটি শংসাপত্র কর্তৃপক্ষ (সিএ) দ্বারা স্বাক্ষরিত হয়। এটি শংসাপত্রের সত্যতা যাচাই করে।


4
@ জোরেডেচ যদি কোনও শংসাপত্রে সাধারণত একটি সর্বজনীন কী থাকে তবে .p12 বা .pfx ফাইলগুলিতে কল করার কোনও ভাল নাম আছে যা শংসাপত্র এবং ব্যক্তিগত কী একসাথে ধারণ করে?
ডিআরএস

একটি পিকেসিএস 12 একটি সংরক্ষণাগার বিন্যাস। এটিতে একটি কী থাকতে পারে, নাও থাকতে পারে। আমি সাধারণত কোনও নির্দিষ্ট ফাইলের মধ্যে কী রয়েছে তা উল্লেখ করার সময় সর্বদা সুনির্দিষ্ট হওয়ার চেষ্টা করি বা pkcs12 ফাইলটি বলি।
জোরডাচি

2
কোথায় এই অতিরিক্ত তথ্য সমাধিস্থ করা হয়? আমি কিছু শংসাপত্রের দিকে তাকিয়ে ছিলাম এবং এটি আমার কাছে সমস্ত
বোকা

3
আপনি যে জিব্বারিশটি খুঁজছেন তা হ'ল বেস 64 এনকোডিং। এটি সম্ভবত সেই একই কারণে ইমেল সংযুক্তিগুলিতে রূপান্তরিত হয় - মূলত তারা নিশ্চিত করে যে কেবল এএসসিআইআইয়ের জন্য নকশা করা প্রোটোকল এবং প্রক্রিয়াজাতকরণগুলি কেবল নৈমিত্তিক পরিবর্তন ছাড়াই এবং নিউলাইনস, বন্ধনী ইত্যাদির মতো বিষয় নিয়ে উদ্বিগ্ন না হয়ে opensslকমান্ডটি ডিকোড করতে পারে এবং এগুলিকে পার্স করুন বা আপনি এটির
লরেন্স

কোনও সিএ স্বাক্ষরিত শংসাপত্র বা সার্ভারের সাথে যোগাযোগ করা হচ্ছে?
ওলশঙ্ক 2

58

এই দুটি ছবি একসাথে আমাকে সবকিছু ব্যাখ্যা করেছে:

সূত্র: লিনাক্সভয়েস

এখানে চিত্র বর্ণনা লিখুন

সূত্র: ইনফোজিনস্টিটিউট

এখানে চিত্র বর্ণনা লিখুন



খুশী হলাম। 1 টি স্পষ্টকরণ: 1 ম ছবিটি স্ট্যান্ডার্ড (1-মুখী) টিএলএস অথথ; দ্বিতীয়, পারস্পরিক (দ্বি-মুখী) লেখক a এবং প্রথম 1 টির মধ্যে 1 অতিরিক্ত কল-আউট আরও কীভাবে বিশ্বাস স্থাপন করা হয়েছে তা আরও ব্যাখ্যা করতে সহায়তা করবে (সমস্ত 1 টি বন্ধুবান্ধব ছবিতে সমস্ত): ক্লায়েন্টটি সার্ভারের পাবলিক কী সার্টিফিকেট পাওয়ার পরে ক্লায়েন্ট যাচাই করে যে সিএ স্বাক্ষর করেছে সার্ভারের শংসাপত্রটি ক্লায়েন্টের বিশ্বস্ত CAগুলির ব্যক্তিগত তালিকায় অন্তর্ভুক্ত রয়েছে (এটি এখন এটি সিএকেও বিশ্বাস করে)। তারপরে, সার্ভারটি সেশন কী প্রেরণ করা নিরাপদ, ডাব্লু / যা প্রত্যেকে এখন পরবর্তী যোগাযোগগুলি এনক্রিপ্ট এবং ডিক্রিপ্ট করতে পারে।
ব্যবহারকারী 1172173

প্রথম লিঙ্কটি, লিনাক্সভয়েস.com /… এর সাথে একটি শংসাপত্রের ত্রুটি দেয়। বিদ্রূপাত্মক।
টবব

37

আসুন বলুন যে সংস্থার A এর একটি মূল জুটি রয়েছে এবং জনসাধারণের ব্যবহারের জন্য তার পাবলিক কী প্রকাশ করতে হবে (তার ওয়েবসাইটে ওরফে এসএসএল)।

  • সংস্থা এটিকে তার মূল জোড়ের জন্য শংসাপত্র পাওয়ার জন্য একটি শংসাপত্র কর্তৃপক্ষের (সিএ) কাছে একটি শংসাপত্রের অনুরোধ (সিআর) করতে হবে।
  • শংসাপত্রের অনুরোধের অংশ হিসাবে কোম্পানির এ-এর কী জুটিটি সরকারী কী নয়, তবে ব্যক্তিগত কী নয়।
  • সিএ এর পরে অনুরোধটি শংসাপত্র দেওয়ার ক্ষেত্রে সিএর মানদণ্ড পূরণ করে কিনা তা নির্ধারণ করতে সংস্থা এ এর ​​পরিচয় সম্পর্কিত তথ্য ব্যবহার করে।
    সিএ যদি অনুরোধটি অনুমোদন করে তবে এটি সংস্থার এ-কে একটি শংসাপত্র জারি করে সংক্ষেপে সিএ স্বাক্ষরকারী সংস্থার এ-এর পাবলিক কী তার (সিএ) প্রাইভেট কী সহ যা তার সত্যতা যাচাই করে।

সুতরাং বৈধ সিএর ব্যক্তিগত কীতে স্বাক্ষরিত সংস্থা এ-এর সর্বজনীন কীকে সংস্থা এ এর ​​শংসাপত্র বলা হয়।


সংস্থা এ কি কোনও পয়েন্ট তার (কোম্পানির এ) প্রাইভেট কীটি তার (কোম্পানির এ) শংসাপত্রের সাথে যুক্ত করে?
তোলা ওদেজয়ি

না, একটি ব্যক্তিগত কী এ এর ​​জন্য প্রাইভেট রয়েছে
মহসেন হায়দারি

তাহলে কোথায় এ কোম্পানির প্রাইভেট কী ব্যবহার করা হয়?
সিভান

2
উপরোক্ত আনুষ্ঠানিকতা পরে। সংস্থা এ এর ​​ওয়েবসাইটে একটি বৈধ এসএসএল শংসাপত্র থাকবে। ওয়েব সাইট যোগাযোগ করে যে কোনও দর্শনার্থী (ব্রাউজার) তার বার্তাটি এনক্রিপ্ট করতে শংসাপত্রের সর্বজনীন কী ব্যবহার করবে। এসএসএল শংসাপত্রের প্রাইভেট কী থাকা সংস্থা এ কেবলমাত্র সেই বার্তাটি ডিক্রিপ্ট করতে পারে।
মোহসেন হাইডারী

আমার ধারণা এ সংস্থাটি একজন পুরুষ।
দিমিডাক

5

আমাকে একটি উদাহরণ দিয়ে ব্যাখ্যা করুন।

সাধারণ কী-জুটি ভিত্তিক পিকেআইতে, ব্যক্তিগত কী এবং সর্বজনীন কী রয়েছে।

শংসাপত্র ভিত্তিক সিস্টেমে ব্যক্তিগত কী এবং শংসাপত্র রয়েছে। শংসাপত্রে পাবলিক কী থেকে বেশি তথ্য রয়েছে।

ডেমো (আপনি একটি শংসাপত্র এবং ব্যক্তিগত কী জেনারেট করতে পারেন): http://www.selfsignedcertificate.com/

আপনি প্রাইভেট কী ফাইল এবং শংসাপত্রের ফাইলটি খুলুন ডাউনলোড করতে পারেন, শংসাপত্রের ফাইলে নীচের চিত্রের মতো দেখতে অনেক তথ্য রয়েছে। এখানে চিত্র বর্ণনা লিখুন এখানে চিত্র বর্ণনা লিখুন

আপনি এই উত্স থেকে আপনার উত্পন্ন শংসাপত্র (একটি পাঠ্য সম্পাদক দ্বারা খোলার) এবং ব্যক্তিগত কী (একটি পাঠ্য সম্পাদক দ্বারা খোলার) সাথে মেলে ফেলতে পারেন: https://www.sslshopper.com/certificate-key-matcher.html

যদি শংসাপত্রটি ক্লায়েন্টের ব্যক্তিগত কীটির সাথে মেলে, ক্লায়েন্ট নিশ্চিত, শংসাপত্রটি ক্লায়েন্ট দ্বারা দেওয়া হয় বা ক্লায়েন্টের বিশ্বস্ত এজেন্ট (সিএ) দ্বারা দেওয়া হয়।

তবে, কেবলমাত্র ব্যক্তিগত কী এবং শংসাপত্র ভিত্তিক যোগাযোগের ক্ষেত্রে সমস্যা রয়েছে

কারণ, যে কেউ তাদের নিজস্ব শংসাপত্র এবং প্রাইভেট কী তৈরি করতে পারে, তাই সাধারণ হ্যান্ডশেক শংসাপত্রের পাবলিক কীটির সাথে মেলে এমন প্রাইভেট কীটি সার্ভারটি ব্যতীত সার্ভার সম্পর্কে কিছুই প্রমাণ করে না। এই সমস্যাটি সমাধানের একটি উপায় হ'ল ক্লায়েন্টের এক বা একাধিক শংসাপত্রের সেট রয়েছে যার উপর এটি বিশ্বাস করে। শংসাপত্রটি সেটে না থাকলে সার্ভারটি বিশ্বাসযোগ্য নয়

এই সহজ পদ্ধতির জন্য কয়েকটি ডাউনসাইড রয়েছে। সার্ভারগুলিকে সময়ের সাথে শক্তিশালী কীগুলিতে আপগ্রেড করতে সক্ষম হওয়া উচিত ("কী রোটেশন"), যা শংসাপত্রের সার্বজনীন কীকে নতুন সাথে প্রতিস্থাপন করে। দুর্ভাগ্যক্রমে, এখন ক্লায়েন্ট অ্যাপ্লিকেশনটি আপডেট করতে হবে যা মূলত একটি সার্ভার কনফিগারেশন পরিবর্তন রয়েছে। সার্ভারটি অ্যাপ বিকাশকারীদের নিয়ন্ত্রণে না থাকলে এটি বিশেষত সমস্যাযুক্ত, উদাহরণস্বরূপ, যদি এটি কোনও তৃতীয় পক্ষের ওয়েব পরিষেবা হয়। যদি অ্যাপ্লিকেশনটিকে কোনও ওয়েব ব্রাউজার বা ইমেল অ্যাপ্লিকেশনর মতো স্বেচ্ছাসেবীদের সাথে কথা বলতে হয় তবে এই পদ্ধতিরও সমস্যা রয়েছে।

এই ডাউনসাইডগুলিকে সম্বোধন করার জন্য, সার্ভারগুলি সাধারণত শংসাপত্র কর্তৃপক্ষ (সিএ) নামে পরিচিত প্রখ্যাত ইস্যুকারীদের শংসাপত্র দিয়ে কনফিগার করা হয়। তিনি হোস্ট-প্ল্যাটফর্ম (ক্লায়েন্ট) সাধারণত এটি নির্ভর করে এমন সিএ এর একটি তালিকা রয়েছে। সার্ভারের মতো, একটি সিএর একটি শংসাপত্র এবং একটি ব্যক্তিগত কী রয়েছে। সার্ভারের জন্য শংসাপত্র দেওয়ার সময়, CA তার ব্যক্তিগত কী ব্যবহার করে সার্ভার শংসাপত্রটি স্বাক্ষর করে। ক্লায়েন্টটি তারপরে যাচাই করতে পারে যে প্লাটফর্মটিতে পরিচিত একটি সিএ দ্বারা জারি করা শংসাপত্রটি সার্ভারের রয়েছে।

তবে কিছু সমস্যা সমাধানের সময় সিএ ব্যবহার করে আরেকটি পরিচয় হয়। সিএ অনেক সার্ভারের শংসাপত্র জারি করার কারণে, আপনি যে সার্ভারটি চান তার সাথে আপনি কথা বলছেন তা নিশ্চিত করার জন্য আপনার এখনও কিছু উপায় প্রয়োজন। এটির সমাধানের জন্য, সিএ দ্বারা জারি করা শংসাপত্রটি সার্ভারকে একটি নির্দিষ্ট নাম যেমন: জিমেইল ডটকম বা ওয়াইল্ডকার্ড হোস্ট যেমন * .google.com এর সাথে সনাক্ত করে।

নিম্নলিখিত উদাহরণটি এই ধারণাগুলি আরও কিছুটা কংক্রিট করে তুলবে। কমান্ড লাইন থেকে নীচে স্নিপেটে, ওপেনসেল সরঞ্জামের s_client কমান্ডটি উইকিপিডিয়ায় সার্ভার শংসাপত্রের তথ্য দেখায়। এটি 443 পোর্ট নির্দিষ্ট করে কারণ এটি HTTPS এর জন্য ডিফল্ট। কমান্ডটি ওপেনএসএল এস_সি্লিয়েন্টের আউটপুটটি ওপেনএসএল x509 এ প্রেরণ করে, যা X.509 স্ট্যান্ডার্ড অনুসারে শংসাপত্রগুলির তথ্য ফর্ম্যাট করে। বিশেষত, কমান্ডটি বিষয়টির জন্য জিজ্ঞাসা করে, এতে সার্ভারের নাম তথ্য এবং ইস্যুকারী, যা সিএ সনাক্ত করে contains

$ openssl s_client -connect wikipedia.org:443 | openssl x509 -noout -subject -issuer
subject= /serialNumber=sOrr2rKpMVP70Z6E9BT5reY008SJEdYv/C=US/O=*.wikipedia.org/OU=GT03314600/OU=See www.rapidssl.com/resources/cps (c)11/OU=Domain Control Validated - RapidSSL(R)/CN=*.wikipedia.org
issuer= /C=US/O=GeoTrust, Inc./CN=RapidSSL CA

আপনি দেখতে পাচ্ছেন যে র্যাপিডএসএসএল সিএ দ্বারা সার্ভারগুলি *। উইকিপিডিয়া.আর.এর সাথে মিল রেখে শংসাপত্র জারি করা হয়েছিল।

আপনি দেখতে পাচ্ছেন যে সার্ভারগুলিতে সিএ প্রেরিত এই অতিরিক্ত তথ্যের কারণে ক্লায়েন্ট সহজেই জানতে পারে যে এটি তার সার্ভারের সাথে যোগাযোগ করছে কিনা not


3

একটি বিশ্বস্ত শংসাপত্র কর্তৃপক্ষের কাছ থেকে একটি এসএসএল শংসাপত্র প্রাপ্ত হয়, যা ওয়েবসাইটটির সুরক্ষিত সংযোগের জন্য সমর্থন দেয়। এসএসএল শংসাপত্রগুলিতে সাধারণত প্রমাণীকরণের লোগো থাকে এবং কম্পিউটারে প্রেরণ করা ডেটা এনক্রিপ্ট এবং ডিক্রিপ্ট করার জন্য প্রয়োজনীয় পাবলিক কীগুলি থাকে। এসএসএল কী ফাংশন

একটি অধিবেশন চলাকালীন বেশ কয়েকটি এসএসএল কী তৈরি করা যায়। এগুলি কম্পিউটারে এবং যে তথ্য প্রেরণ করা হচ্ছে তা এনক্রিপ্ট এবং ডিক্রিপ্ট করার জন্য ব্যবহৃত হয় keys কীগুলি ব্যবহার করে তথ্যটি সংশোধন করা বা কোনও छेड़छाड़ করা হয়নি তা যাচাই করতে ব্যবহৃত হয়।

জীবনচক্রের পার্থক্য

শংসাপত্রগুলি SSL কীগুলির চেয়ে দীর্ঘস্থায়ী। এসএসএল শংসাপত্রগুলি শংসাপত্র কর্তৃপক্ষ থেকে প্রাপ্ত হয়, যা নিয়মিতভাবে ব্যাংক এবং ব্যবসা দ্বারা পুনর্নবীকরণ করা যায়। অন্যদিকে, এসএসএল কী বা সেশন কীগুলি অধিবেশন চলাকালীন স্বতন্ত্রভাবে উত্পন্ন হয় এবং সেশন শেষ হয়ে গেলে তা বাতিল করা হয়।

এখানে আরও পড়ুন


2

ঠিক আছে, আসুন এটিকে ভেঙে দিন যাতে অ প্রযুক্তিগত লোকেরা বুঝতে পারে।

এইভাবে ভেবে দেখুন। একটি শংসাপত্র আপনার ব্যাঙ্কের সুরক্ষা জমা দেওয়ার বাক্সের মতো। এটিতে অনেকগুলি গুরুত্বপূর্ণ উপাদান রয়েছে; সাধারণত আপনার পরিচয় রয়েছে এমন স্টাফ। শংসাপত্রটির একটি সর্বজনীন কী রয়েছে এবং এটি খোলার জন্য একটি ব্যক্তিগত কী প্রয়োজন।

আপনার সুরক্ষা জমা দেওয়ার বাক্সটি শংসাপত্রের মতো খোলার জন্য দুটি কী লাগবে।
সুরক্ষা আমানত বাক্স সহ, ব্যাঙ্কারের চাবি পাবলিক কী এর মতো কারণ এটি ব্যাঙ্কে থাকে এবং সার্বজনীন কী শংসাপত্রের সাথে থাকে। আপনার একটি প্রাইভেট কী রয়েছে যা "আপনার শংসাপত্র পাওয়ার জন্য" দরকার এবং সুরক্ষা আমানত বাক্সের উদাহরণে, আপনার ব্যক্তিগত কীটি পাবলিক কী ছাড়াও প্রয়োজনীয়।

আপনি প্রকৃতপক্ষে আপনার সুরক্ষা আমানত বাক্সটি খোলার আগে আপনাকে প্রথমে নিজের পরিচয় যাচাই করতে হবে (শংসাপত্রের অনুরোধের মতো); একবার আপনাকে সনাক্ত করা গেলে, আপনার সুরক্ষা বাক্সটি খোলার জন্য আপনি সর্বজনীন কী সহ আপনার ব্যক্তিগত কী ব্যবহার করেন। এটি আপনার শংসাপত্রের অনুরোধটি করার মতো, এবং তারপরে শংসাপত্র কর্তৃপক্ষের কাছ থেকে আপনার শংসাপত্র পাওয়ার (যতক্ষণ আপনি সনাক্ত করতে পারবেন (বিশ্বাসযোগ্য) এবং আপনার কাছে সঠিক কী আছে)।


3
<জলদস্যুদের দ্য ক্যারিবীয়ান> সুতরাং আমরা এই কীটির পিছনে যাচ্ছি! </ জলদস্যুদের অফ ক্যারিবীয়ান> (পড়ুন: আপনি কিছুতেই কোনও বুদ্ধি বোধ করছেন না ...)
টিমো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.