我对PKI / SSL / TLS有一个非常基本的了解,但没有很多经验。我有几个iOS设备通过VPN连接到内部服务器。服务器可以访问,但我们收到SSL错误。我知道我需要将CA的证书添加到iOS设备中 - 但是如果我添加CA的公共或私有证书我会感到困惑吗?
根据这个博客它是私人的,但我想先验证。 http://nat.guyton.net/2012/01/20/adding-trusted-root-certificate-authorities-to-ios-ipad-iphone/
非常感谢任何建议或进一步的文件。
答案 0 :(得分:1)
没有私人证书。
在非对称加密中,您有两个密钥 - 公钥和私钥。顾名思义,私钥保密,公钥分发。证书是一个单独的对象,用于将公钥绑定到"安全主体" - 即个人,服务器,证书颁发机构或其他任何人。
所以你的VPN服务器有证书。此证书表明给定的公钥X属于您的服务器。当您联系服务器时,它会为您提供证书和公钥,然后通过为其提供随机生成的号码来证明它具有相应的私钥以进行签名/解密。
但是,您如何知道服务器在为您提供证书时并不撒谎?因为证书是由第三方签署的 - 证书颁发机构。 CA使用其私钥对服务器的证书进行了签名,以确认其所说的内容是真的。您可以使用CA的公钥验证此签名。但是,您怎么知道CA的公钥实际上属于CA?
正如您所看到的,这可以持续一段时间,创建一系列证书或信任链。最终,你必须拥有一些你信任的证书而没有任何第三方 - 根证书。 iOS附带了Apple信任的一组,但不包括VPN服务器链的根目录。这是您要求安装的证书。