Как работает SSL TLS сертификат?

Question

[by_EL]

Мне интересно вопрос с помошью какого компонента веб сервер генерирует сертификаты server.pem или server.key
Как из чего сервер генерирует новые сертификаты для пользователей который посещают определенную веб сайт ,мне интересно именно какого типа что должен быть чтобы из этого template-а сервер смог генерировать сертификаты для клиентов ??
PS я читал и заню что такое PKI
Заранее Спасибо

Comments

[Valentin Barbolin]

веб сервер генерирует сертификаты

ВЕБ сервер не генирирует сертификат. Если мы говорим про WEB сертификат, то его можно купить, или получить на 3месяца бесплатно (например LetsEncrypt). Сертификат привязан к домену, только владелец домена может получить сертификат.

Прозрачный прокси может генерить сертификаты на ходу, но для этого необходимо установить на клиента Рутовый сертификат в доверенные, с помощью которого прокси будет генерить другие сертификаты.

Answer 1

[AUser0]

Сертификаты генерируются удостоверяющими центрами (например бесплатный LetsEncrypt), которые подписывают новый сертификат своим ключём. Вы этот сертификат скачиваете и используете. И весь мир доверяет этому новому сертификату, потому что доверяет удостоверяющему центру, его сгенерировашему/подписавшему.

Answer 2

[ky0]

Веб-сервер ничего не генерирует, путь к ключу и сертификатам записаны у него в конфиге. Можно сгененировать приватный ключ и CSR руками с помощью openssl и подсунуть его certbot`у или в панель управления коммерческому УЦ.

Comments

[by_EL]

Вот как я понимаю приватные ключи нужны для расшифрование инфы от клиента до генерации сессоного симметричного ключа то есть пара от открытого ключа для расшифрование инфы но, когда различные клиенты подключаются к веб серверу все эти клиенты получают одинаковые сертификаты то есть открытый ключ? Или как вот это нюанс я не понимаю
Спачибо за ответ

Answer 3

[CityCat4]

Как из чего сервер генерирует новые сертификаты для пользователей который посещают определенную веб сайт

Никак и ни из чего. Сертификат, который предоставляет сайт - его заранее получил и настроил админ сайта. Сервер не может ничего никому генерить - у него обычный клиентский сертификат. Если же Вы ему сами создали сертификат, позволяющий что-то генерить - такому сертификату никто не будет верить.

Да-да, все PKI - оно про доверие :) Мы безусловно доверяем всем корневым центрам, но самопальному сертификату не поверит никто.