Příjemce Certifikátu identity ověřuje jako součást procesu ověřování certifikátu více polí certifikátu.
Ověření certifikátuCertifikát identity je platný, pokud vyhovuje řadě podmínek:
Certifikát je časově platný.
Certifikát nebyl revokován nebo změněn.
Certifikát byl vydán pro dané použití.
Pole Subject Alternative Name certifikátu odpovídá Full Qualified Domain Name příchozího připojení.
Certifikát je důvěryhodný, což znamená, že byl ověřen pomocí důvěryhodných certifikátů CA.
|
Tiskárna PRISMAsync má jeden certifikát identity pro ověření severu PRISMAsync Print Server. Tento certifikát identity byl vytvořen, podepsán a vydán CA. Žádost o certifikát pro CA, nazývaná rovněž Certificate Signing Request (CSR), je generována správcem systému v nástroji Settings Editor. Během tvorby CSR jsou vytvořeny rovněž soukromý a veřejný klíč, které patří k Certifikátu identity. Veřejný klíč je odeslán s žádostí, ale soukromý klíč je uchován bezpečně v PRISMAsync Print Server. Správce systému odešle certifikát identity PRISMAsync Print Server do nástroje Settings Editor.  POZNÁMKA
Kořenový certifikát CA nebo Zprostředkující certifikát CA lze nastavit pro vnitrofiremní použití. |
|
Z perspektivy PRISMAsync Print Server může ověřování certifikátu probíhat na dvou místech.
|
Na žádost jiné strany odešle PRISMAsync Print Server svůj Certifikát identity. Certifikát identity PRISMAsync Print Server je platný pro ověřování klientů, pro ověřování serverů nebo pro obojí.
V případě Ověřování serveru je Certifikát identity PRISMAsync Print Server ověřen, pokud se PRISMAsync Print Server chová jako server. Například, když se prohlížeč chce připojit k nástroji Settings Editor nebo k PRISMAsync Remote Manager prostřednictvím HTTPS.
Ověření certifikátuV případě Ověřování klienta je Certifikát identity PRISMAsync Print Server ověřen, pokud se PRISMAsync Print Server chová jako klient. Například, když se PRISMAsync Print Server chce připojit k poštovnímu serveru prostřednictvím TLS.
Ověření certifikátuPRISMAsync Print Server odešle požadavek na ověřování druhé straně. PRISMAsync Print Server ověří doručený certifikát identity. Z toho důvodu PRISMAsync Print Server používá certifikáty CA uložené v seznamu PRISMAsync Print Server důvěryhodných certifikátů.
Ověření certifikátuV případě vzájemného ověřování si PRISMAsync Print Server a druhá strana vzájemně vymění své Certifikáty identity a ověří Certifikát identity druhé strany.
|
PRISMAsync Print Server použije vzájemné ověřování pro vytvoření připojení IPsec založeného na certifikátech. |
Ověření certifikátuVšechny certifikáty CA patřící do certifikačního řetězce jsou nutné pro ověření Certifikátu identity.
Příklad:
Schéma níže popisuje ověření certifikačního řetězce.
Ověření certifikátuPRISMAsync Print Server přečte pole vydavatele Certifikátu identity serveru a ověří, jestli je vydavatel na seznamu PRISMAsync Print Server důvěryhodných certifikátů. Pokud je vydavatel na seznamu, použije PRISMAsync Print Serverveřejný klíč CA k ověření podpisu na Certifikátu identity serveru.
Certifikát CA je vydává Kořenová CA. Tento certifikát CA je tak Zprostředkující certifikát. Nyní PRISMAsync Print Server ověří, jestli je Kořenová CA na seznamu. Pokud je kořenová CA na seznamu, použije PRISMAsync Print Serverveřejný klíč Kořenové CA k ověření podpisu na certifikátu CA.
Kořenový certifikát CA vydává sama Kořenová CA. Podpis na Kořenovém certifikátu CA lze ověřit pomocí veřejného klíče Kořenové CA.
Pokud jsou všechny CA shledány důvěryhodnými, je Certifikát identity server posouzen jako důvěryhodný.
|
Prohlížeče jako Chrome, Firefox, Safari a Internet Explorer mají předem nainstalované certifikáty CA k ověření Certifikátu identity webových serverů jako PRISMAsync Print Server. PRISMAsync Print Server uloží certifikáty CA druhých stran na seznamu důvěryhodných certifikátů. |