자체 서명 된 인증서와 CA가 발급 한 인증서의 주요 차이점은 트러스트 체인입니다. 자신의 인증서에 서명 한 다음 자신이나 다른 사람이 인증서를 사용하면 인증서에 서명 한 서버를 특별히 신뢰해야합니다. 이렇게하려면 브라우저의 '신뢰할 수있는 CA 루트'목록 (예 : Firefox 또는 MSIE 또는 Chrome 용 Microsoft의 CAPI 스토어) 또는 Java 애플리케이션 용 cacerts
파일에 인증서를 추가하십시오. 그렇지 않으면 자체 서명 인증서가 신뢰되지 않으며 해당 환경 (예 : Java 또는 특정 브라우저)의 보안 설정이 얼마나 엄격한 지에 따라 "경고"또는 오류 메시지가 표시됩니다.
CA에서 서명 한 인증서를 사용하면 인증서에 서명 한 CA 또는 CA의 신뢰할 수있는 루트 (해당 CA의 인증서에 서명 한 루트) 중 하나가 관련 트러스트 스토어에 이미있는 경우 경고 메시지가 표시되지 않습니다 (즉, Java 용 브라우저 또는 cacerts
파일).Microsoft 및 Oracle (Java 용)은 손상되었거나 취소 된 CA 또는 기관에 대해 신뢰할 수있는 CA 및 관리 CRL (인증서 해지 목록)을 지속적으로 업데이트하고 있습니다.
일반적으로 이러한 신뢰할 수있는 CA (예 : verisign, 위탁 등) 중 하나는 인증서 서명 및 발급에 $$을 부과하고 더 많은 비용을 지불하면 유효 기간이 길어집니다.
자체 서명 된 것이 무료이며 오랜 기간 동안 발행 될 수 있습니다 (권장하지 않음).
클로저에게 ... 나는 이것이 serverfault.com에 있어야한다는 것에 거의 동의하지만 동시에 PKI를 사용하는 개발자가 알아야 할 정보입니다. –
누가 정체성에 관심이 있습니까? 클라이언트가 자신이 주장하는 사람인지 또는 서버가 누구인가를 확인하려고합니까? –