Comment un certificate auto-signé est-il différent d'une request de signature de certificate?

À partir de la page wiki pour une request de signature de certificate :

Dans les systèmes d'infrastructure de key publique (PKI), une request de signature de certificate (également CSR ou request de certificateion) est un message envoyé par un requestur à une autorité de certificateion afin de requestr un certificate d'identité numérique.

À partir de la page wiki pour un certificate auto-signé :

En cryptography et en security informatique, un certificate auto-signé est un certificate d'identité signé par la même entité dont elle certifie l'identité. Ce terme n'a rien à voir avec l'identité de la personne ou de l'organisation qui a effectivement effectué la procédure de signature. En termes techniques, un certificate auto-signé est signé avec sa propre key privée.

Il semble donc que l'on soumettrait une CSR à une autorité de certificateion pour get un certificate d'identité numérique . Ce certificate d'identité numérique pourrait être du même format qu'un certificate auto-signé (par exemple, le format de norme de cryptography à key publique 12 ).

La différence key est: le certificate auto-signé est signé par la même personne qui possède la key privée , tandis que le certificate d'identité numérique renvoyé par l'autorité de certificateion lors de la réception de la request de signature de certificate est signé à l'aide de la key privée de l'autorité de certificateion.

Par conséquent, le certificate auto-signé est garanti pour fonctionner pour le encryption, mais pas pour l'identification, alors que le certificate d'identification numérique de l'autorité de certificateion est censé fonctionner pour le encryption et l'identification.

Est-ce correct? J'aimerais des éclaircissements par des exemples.

le certificate auto-signé est signé par la même personne qui possède la key privée, tandis que le certificate d'identité numérique renvoyé par l'autorité de certificateion lors de la réception de la request de signature de certificate est signé à l'aide de la key privée de l'autorité de certificateion.

C'est exact.

Par conséquent, le certificate auto-signé est garanti pour fonctionner pour le encryption, mais pas pour l'identification, alors que le certificate d'identification numérique de l'autorité de certificateion est censé fonctionner pour le encryption et l'identification.

Cela devient plutôt délicat. Le cert certifié par l'autorité de certificateion est uniquement approuvé pour l'identification parce que l'autorité de certificateion est incluse dans le magasin de certificates pré-peuplé embedded dans les browsers / OS. Si je n'avais pas de magasin de certificates pré-peuplé, aucun d'entre eux ne serait fait confiance.

Si j'ai téléchargé et vérifié le certificate de cette key auto-signée et l'ai ajouté à mon magasin de certificates, je pourrais en faire confiance à toutes fins utiles.

Donc, du sharepoint vue de la technologie, la seule différence est que votre cert auto-signé ne serait pas embedded dans mon browser / operating system.

bien, tant que vous «faites confiance» à l'AC qui a signé un certificate, vous pouvez vous assurer que la situation est sûre.

et vous le faites habituellement en installant les certificates CA (signataires) dans votre environnement, de sorte qu'il reconnaisse automatiquement les certificates signés par cette Autorité et les considère comme «fiables».

(Désolé, mais je ne peux pas commenter, alors j'ai dû utiliser le button de réponse)

En tant qu'exemples concrets, chez nous, nous avons notre propre CA, et nous avons des certificates CA installés sur tous les browsers web (c'est IE, Firefox, etc.) lorsque l'AC "signe" nos certificates SSL (utilisés dans l'intranet , applications, etc. en écoute en SSL / TLS), et nous accédons à ces applications, elles sont automatiquement reconnues comme sûres et vous n'avez pas besoin de cliquer sur une bannière d'avertissement spécifique indiquant que les certificates utilisés ne sont pas fiables (car ils sont soit auto-signé, soit signé par une autorité de certificateion inconnue, soit une CA sur laquelle nous ne faisons pas confiance)

l'autorité de certificateion est ce qui est utilisé pour signer un certificate, une RSE est une request que vous envoyez à une autorité de certificateion afin de pouvoir vous signer un certificate en général sans avoir la key.

par exemple, vous allez à une autorité de certificateion et requestz un certificate, ils vous requestnt quelles informations et ils génèrent une key et un cert avec un CSR, la key est la même qu'ils génèrent un nouveau cert. avec des attributes différents parfois comme des dates de validité etc …