Was bewirkt das Einstellen einer Zertifizierungsstelle innerhalb einer Anwendung?

Question

Wenn eine Anwendung Ihnen optional erlaubt, ein Zertifikat anzugeben, das eine Zertifizierungsstelle darstellt, was macht das?

Legt dieses Zertifikat im Grunde als ein "vertrauenswürdiges" Zertifikat fest?

Konkretes Beispiel:

Kibana kommuniziert mit Elasticsearch. Wenn Sie Kibana konfigurieren, können Sie die folgende Konfiguration Wert gesetzt:

elasticsearch.ssl.ca 

Die Dokumentation sagt dieser Wert ist eine „Optionale Einstellung, die Sie einen Pfad zu der PEM-Datei für die Zertifizierungsstelle für Ihre Elasticsearch Instanz angeben können. " (source)

Innerhalb derselben Konfiguration geben Sie auch ein Zertifikat und einen Schlüssel an, die für die Kommunikation mit der elasticsearch-Instanz verwendet werden können.

Answer 1

Wenn die Einstellung optional ist, bedeutet dies, dass das Standardverhalten darin besteht, die System-Stammzertifizierungsstellen zu verwenden, um das von Ihrer Elasticsearch-Instanz verwendete SSL-Serverzertifikat zu überprüfen. Wenn Sie ein handelsübliches SSL-Server-Zertifikat verwendet haben, sollte dies ausreichen.

Ja, Sie legen dieses Zertifikat als Stammzertifizierungsstelle fest, aber nur für diese Anwendung.

Mithilfe der Einstellung können Sie die Stammzertifizierungsstelle angeben, die zum Generieren des SSL-Serverzertifikats verwendet wird. Dies ist nützlich, wenn Sie:

• ein Zertifikat selbstsignierten verwenden
• ein Root CA verwenden, die nicht im System Root CA-Repository
• brauchen strenge Sicherheitseinstellungen haben Teilmengen von Root-CAs vertraut zu begrenzen, indem Sie Ihre Anwendung.