ルートCAは、サーバーに初めて接続するときにクライアントマシンにどのようにインストールされますか?
Web経由のサーバー認証について読み、発行元のルートCAを相互認証のためにサーバーとクライアントの両方のマシンの信頼されたルートCAにインポートする必要があることを知りました。
次に、それが銀行アプリケーションであり、ユーザーが初めて銀行サーバーに接続するとします。
- サーバーはサーバー証明書を返し、それ自体をクライアントに検証します。
- クライアントは証明書を取得し、このサーバー証明書に以前に署名した信頼されたルートCA機関で検証します。
- クライアントは証明書を送信し、サーバーは、このクライアント証明書に以前に署名した信頼されたルートCA機関で検証します。
- コミュニケーションが始まります。
手順3-サーバーの展開時にサーバーにインストールされている信頼されたルートCA権限を理解しています。
しかし、ステップ2では、クライアントマシンが最初に接続したとき(およびユーザーは任意のマシンから動的に接続できます)、ルートCA権限がクライアントマシンにどのようにインストールされましたか
PKIの場合、信頼されたルートCA証明書のセットが、デバイス、オペレーティングシステム、またはサードパーティソフトウェアに付属しています。
たとえば、Microsoft、Google、Mozilla、またはAppleは、信頼されたルート証明書のデータベースを維持し、それらの製品を提供します。
他の一部の企業( Lenovo または Dell など)は、プリインストールされたOSにルート証明書を追加するために悪名高く使用されています。
エンタープライズ環境では、管理ソフトウェアを使用して、追加の証明書をワークステーションに配布できます。
一方、「バンキングアプリケーション」とは、クライアントマシンにインストールされているアプリケーションを意味し、PKIを使用しない場合は、証明書がアプリケーションにバンドルされている必要があります。