Bagikan melalui


Rantai Sertifikat

Untuk menggunakan sertifikat untuk keamanan, keaslian dan validitas setiap sertifikat yang diterima harus diverifikasi. Verifikasi ini tergantung pada konsep kepercayaan dan delegasi kepercayaan; untuk informasi selengkapnya, lihat Hierarki Kepercayaan.

Setiap sertifikat berisi bidang subjek yang mengidentifikasi individu atau grup tempat sertifikat diterbitkan. Setiap sertifikat juga berisi bidang pengeluar sertifikat yang mengidentifikasi otoritas sertifikasi (CA) yang diberdayakan untuk mensertifikasi identitas subjek.

Rantai sertifikat terdiri dari semua sertifikat yang diperlukan untuk mensertifikasi subjek yang diidentifikasi oleh sertifikat akhir. Dalam praktiknya ini termasuk sertifikat akhir, sertifikat CA perantara, dan sertifikat OS akar yang dipercaya oleh semua pihak dalam rantai. Setiap CA perantara dalam rantai memegang sertifikat yang dikeluarkan oleh CA satu tingkat di atasnya dalam hierarki kepercayaan. OS akar mengeluarkan sertifikat untuk dirinya sendiri.

Proses verifikasi keaslian dan validitas sertifikat yang baru diterima melibatkan pemeriksaan semua sertifikat dalam rantai sertifikat dari CA asli yang dipercaya secara universal, melalui CA perantara apa pun, hingga sertifikat yang baru saja diterima yang disebut sertifikat akhir. Sertifikat baru hanya dapat dipercaya jika setiap sertifikat dalam rantai sertifikat tersebut diterbitkan dengan benar dan valid.

Melacak semua sertifikat yang mendukung sertifikat akhir baru bisa menjadi rumit. Oleh karena itu, teknologi CryptoAPI 2.0 menyediakan fungsi yang mengotomatiskan pembuatan rantai sertifikat yang mendukung sertifikat akhir yang diberikan. Fungsi-fungsi ini juga memeriksa dan melaporkan validitas setiap sertifikat dalam rantai.

Fungsi pembuatan dan pemeriksaan rantai CryptoAPI 2.0 menggunakan mesin rantai untuk membuat dan memverifikasi rantai sertifikat. Mesin rantai mendefinisikan namespace penyimpanan dan partisi cache untuk Infrastruktur Penautan Sertifikat. CryptoAPI 2.0 menyediakan mesin rantai default untuk proses aplikasi apa pun yang hanya menggunakan penyimpanan sistem default (misalnya, MY, Root, CA, dan Trust) untuk pembuatan dan penembolokan rantai. Aplikasi dapat menentukan namespace penyimpanannya sendiri atau memiliki cache partisi sendiri dengan membuat mesin rantainya sendiri. Untuk mencapai perilaku penembolokan yang optimal, kami sarankan Anda membuat mesin rantai tunggal pada startup aplikasi dan menggunakan mesin rantai tersebut sepanjang masa pakai aplikasi.

Untuk daftar fungsi, lihat Fungsi Verifikasi Rantai Sertifikat. Untuk program yang membangun rantai sertifikat dan memverifikasi sertifikat, lihat Contoh Program C: Membuat Rantai Sertifikat.