CA证书和本地证书

Question

当我想到CA证书和本地证书时，有些事情困扰着我。

以下是我的查询，涉及到juniper，但也可能是通用的。

( 1)“请求安全pki CA -证书注册ca-profile ROOT2”如果我没有错的话，以上用于从CA服务器获取CA证书。同样的(证书)用于确认它确实是一个可信的CA服务器。但证书实际上包含了什么？设备如何知道它的目标CA服务器？

上面的图表显示了接收方如何接收证书并使用CA的公钥对其进行解密。但是接收者是如何知道公钥和哈希算法的呢？

在这一切发生之前单独谈判的->Is？

->，这在明文中发生了吗？

->And也是一次性的，就像加载到路由器上的CA证书，并且只使用一次来验证CA服务器，还是在IPSec对等点之间的任何时候再次使用？

2)“请求安全pki本地证书注册证书-id”

在上述步骤中，VPN对等方请求本地证书。

->So，是在这一步中CA服务器了解了对等方的公钥，还是提前进行了交换？

->和上面的图表对本地证书也有好处吗？在这种情况下，证书包含对等方的公钥和其他信息(如主题等)，它是否对其进行散列以创建“指纹/摘要”，并再次使用其私钥加密？

->，如果上面的过程是正确的，那么对等方是否再次检查本地证书的完整性和真实性，方法是使用CA的公钥解密，然后只将其发送给另一个对等点？如果没有，它是否直接将接收到的本地证书发送给对等方？

我无法得到上述问题的答案。

请帮助我理解同样的道理。提前谢谢。

Answer 1

首先，您发布的图表只显示了CA颁发证书的一般过程(通过用私钥签名证书内容的散列)，以及验证证书由特定CA颁发的客户端(通过使用CA证书的公钥验证签名)。要做到这一点，客户端必须信任特定的CA (或者至少是多级PKI的根)，即它必须事先拥有它的证书。

这通常只与简单证书注册协议 (SCEP)有关，上面提到的在Junos上使用的命令。

如前所述，request security pki ca-certificate enroll ...从SCEP服务器请求CA证书(S)。设备不自动信任这些证书。相反，命令会打印这些证书的主题可分辨名称(DN)和指纹(公钥哈希)，并由用户来验证和确认它们。根据文献资料的说法，这看起来可能是这样的：

user@host> request security pki ca-certificate enroll ca-profile entrust
Received following certificates:
  Certificate: C=us, O=juniper, CN=First Officer
    Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f
  Certificate: C=us, O=juniper, CN=First Officer
    Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17
  Certificate: C=us, O=juniper
    Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10
Do you want to load the above CA certificate ? [yes,no] (no) yes

使用该命令的另一种方法是request security pki ca-certificate load ...，它将从一个文件(即不是通过SCEP)加载CA证书。

安装和信任CA证书后，可以使用它们通过SCEP请求终端实体证书。命令request security pki local-certificate enroll ...正是这样做的。它将创建一个公钥对并生成一个证书请求，其中包含客户端的公钥和主题DN以及某些扩展，例如subjectAlernativeNames。如果CA需要，它也可能包含质询密码。该PKCS#10请求使用CA的公钥(或在某些情况下是挑战密码)加密，并通过SCEP发送到服务器。CA在那里验证请求，如果接受，则发出证书，然后通过SCEP返回给客户端。