在应用程序中设置证书颁发机构证书是做什么的?
问题描述:
当应用程序有选择地允许您指定代表证书颁发机构的证书时,这是干什么的?在应用程序中设置证书颁发机构证书是做什么的?
这是否基本上将该证书设置为“可信”证书?
具体示例:
Kibana与elasticsearch进行通信。当您配置kibana,您可以设置以下配置值:
elasticsearch.ssl.ca
文档说这个值是“可选的设置,允许您指定要为您Elasticsearch实例的证书颁发机构的PEM文件的路径。 “ (source)
在同一个配置中,您还指定了可用于与elasticsearch实例进行通信的证书和密钥。
答
如果该设置是可选的,则表示默认行为是使用系统根CA来验证您的Elasticsearch实例使用的SSL服务器证书。如果您使用标准的商业SSL服务器证书,这应该足够了。
是的,您将该证书设置为根CA,但仅限于此应用程序。
使用此设置可以指定用于生成SSL服务器证书的根CA.如果这是有用的:
- 使用自签名证书
- 使用的根CA,是不是在系统根CA仓库中
- 需要有严格的安全设置限制根CA的子集,由信任你应用。