身份证书的接收者作为证书身份验证过程的一部分验证多个证书字段。
证书验证身份证书在符合一系列条件时有效:
证书是时间有效的。
证书未被吊销或更改。
已针对证书的用途颁发了证书。
证书的 Subject Alternative Name 字段与传入连接的 Full Qualified Domain Name 匹配。
证书是可以信任的,这意味着它已被受信任的 CA 证书进行了验证。
|
PRISMAsync 打印机有一个身份证书,用以验证 PRISMAsync Print Server。此身份证书已由 CA 创建、签名和颁发。 CA 的证书请求,也称为Certificate Signing Request (CSR),在系统管理员在 Settings Editor 中生成。在 CSR 创建期间,还会创建属于身份证书的私钥和公钥。公钥随请求一起发送,但私钥在 PRISMAsync Print Server 上保持安全。 系统管理员可在 Settings Editor 中上传 PRISMAsync Print Server 身份证书。  注释
可以为公司内部使用设置根 CA 或中间 CA。 |
|
从 PRISMAsync Print Server 的角度看,证书身份验证可能在两个位置发生。
|
应另一方的请求,PRISMAsync Print Server 发送其身份证书。PRISMAsync Print Server 身份证书对于客户端身份验证和/或服务器身份验证有效。
如果是服务器身份验证,则会在 PRISMAsync Print Server 充当服务器时验证 PRISMAsync Print Server 身份证书的身份。例如,当浏览器要通过 HTTPS 连接到 Settings Editor 或 PRISMAsync Remote Manager。
证书验证如果是客户端身份验证,则会在 PRISMAsync Print Server 充当客户端时验证 PRISMAsync Print Server 身份证书的身份。例如,当 PRISMAsync Print Server 想要通过 TLS 连接到邮件服务器时。
证书验证PRISMAsync Print Server 向另一方发送身份验证请求。PRISMAsync Print Server 验证已接收的身份证书的身份。因此,PRISMAsync Print Server 使用在受信任证书的 PRISMAsync Print Server 列表中存储的 CA 证书。
证书验证如果是相互身份验证,则 PRISMAsync Print Server 和另一方交换身份证书,并验证另一方的身份证书。
|
PRISMAsync Print Server 应用相互身份验证以建立基于证书的 IPsec 连接。 |
证书验证必须有所有属于证书链的 CA 证书,才能对身份证书进行身份验证。
例如:
下面的方案解释了如何验证证书链。
证书验证PRISMAsync Print Server 读取服务器身份证书的颁发机构字段,并验证颁发机构是否在受信任证书的 PRISMAsync Print Server 列表中。如果颁发机构在该列表中,则 PRISMAsync Print Server 使用 CA 的公钥验证服务器身份证书上的签名。
CA 证书由根 CA 颁发。因此,此 CA 证书是中间证书。现在,PRISMAsync Print Server 验证根 CA 是否在列表中。如果根 CA 在该列表中,则 PRISMAsync Print Server 使用根 CA 的公钥验证 CA 证书上的签名。
根 CA 证书由根 CA 本身颁发。可以使用根 CA 的公钥验证根 CA 证书上的签名。
当所有 CA 都被证明受信任时,服务器身份证书被视为受信任。
|
Chrome, Firefox, Safari 和 Internet Explorer 等浏览器有一些预安装的 CA 证书,可验证 PRISMAsync Print Server 等 Web 浏览器的身份证书。PRISMAsync Print Server 将其他当事方的 CA 证书存储在受信任证书列表中。 |