하나의 Pem을 다른 Pem에 연결

여러 PEM 파일을 결합하는 올바른 순서는 다음과 같습니다.

올바른 PEM 순서는 다음과 같습니다.

-----BEGIN RSA PRIVATE KEY-----
(Your Private Key: your_domain_name.key)
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
(Your Primary SSL certificate: your_domain_name.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Your Intermediate certificate: IntermediaryCA.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Your Root certificate: TrustedRoot.crt)
-----END CERTIFICATE-----

가지고 있지 않은 것(또는 파일에 포함하고 싶지 않은 것)은 생략할 수 있습니다. 그러나 순서는 가장 구체적인 것부터 가장 덜 구체적인 것 순입니다.

1. 열쇠
2. 당신의 증명서
3. 중개 CA 인증서
4. 루트 CA 인증서

중개자가 여러 개인 경우 체인과 동일한 순서로 순차적으로 계속 나열하면 됩니다.

모든 프로그램에 이 순서가 필요한 것은 아니며 일부 프로그램은 스스로 알아냅니다. 그러나 Postfix와 stunnel 모두 이 명령이 필요하다는 것을 경험했습니다.

생성된 파일에 Thawte .pem을 추가하면 어떤 위험이 있습니까?

전혀.

내 파일에 Thawte .pem을 추가하면 SSL에 어떤 영향을 미치나요?

동일한 파일에 여러 항목을 배치하면 SSL 라이브러리가 해당 항목을 사용하여 연결을 시작할 수 있습니다. 특히, 하나 이상의 인증서가 사용 중인 개인 키에 해당하는 인증서로 서명된 경우 이러한 추가(일반적으로 "중간") 인증서는 신뢰할 수 있는 루트에서 데이터를 전송하는 데 도움이 되도록 연결하는 클라이언트로 전송됩니다. 신뢰 체인은 클라이언트 컴퓨터에 설치된 인증서와 세션 보안에 사용하는 인증서에 의해 설정됩니다.

이와 같이:

[ Trusted root ] --signed--> [ Intermediate ] --signed--> [ Your Cert ]

클라이언트에 중간 인증서 사본이 없으면 신뢰할 수 있는 루트와 인증서 사이에 링크를 설정할 수 없습니다. SSL 협상 중에 이를 제공하는 경우에는 사본을 받을 필요가 없습니다.

이렇게 결합하면 인증서 체인이 생성됩니다. 이 SO Q&A는 다음과 같은 다양한 파일의 형식을 설명합니다.Pem 파일은 무엇이며 다른 OpenSSL 생성 키 파일 형식과 어떻게 다릅니까?. 이것은 아마도 내가 본 다양한 파일 형식에 대한 가장 좋은 설명일 것입니다.

발췌

• .pemRFC 1421~1424에 정의된 이는 공개 인증서(예: Apache 설치 및 CA 인증서 파일 /etc/ssl/certs)만 포함하거나 공개 및 개인 키와 루트를 포함한 전체 인증서 체인을 포함할 수 있는 컨테이너 형식입니다. 자격증. 이름은 보안 이메일의 실패한 방법인 Privacy Enhanced Email에서 유래되었지만 사용된 컨테이너 형식은 여전히 ​​존재합니다.