Цель наличия корневых сертификатов предустановленные, потому что они служат в качестве верхней части цепочки доверия (на самом деле это больше дерева или леса деревьев ...).
При условии, что они предустановлены, мы предполагаем (хотя мы все знаем, что люди говорят о допущении), что они не подвержены риску и могут использоваться для проверки любого другого сертификата. Хотя можно было бы скомпрометировать их, например. взломать FTP-сервер и возиться с образами DVD дистрибутива Linux, это не очень просто, и он не будет оставаться незамеченным надолго и не может нацелиться на определенную организацию.
В вашем случае, вы должны выполнить одно из следующих действий:
Установка корневых сертификатов в вашей системе, используя пакет от поставщика вашей системы. Для относительно высокого уровня уверенности вы должны загрузить один и тот же пакет из двух разных мест, предпочтительно через разных интернет-провайдеров (например, из дома и с работы) и из двух или трех разных зеркал. Затем вы можете сравнить загруженные файлы, которые должны быть идентичными. Если ваш системный поставщик предоставляет контрольные суммы для своих файлов пакетов в Интернете, вы также должны их проверить.
Возьмите корневые сертификаты из надежной системы с помощью USB-накопителя и перенесите их в свою систему. Вы должны заранее проверить безопасность доверенной системы. Хорошим источником будет использование простой Linux-установки с официального установочного диска.
Настройте как минимум один корневой сертификат (например, с помощью USB-накопителя), затем попытайтесь отследить сертификаты эмитента для своих партнеров. Для каждого сертификата эмитента вы должны вручную проверить и установить любые другие сертификаты в цепочке доверия, пока не достигнете предварительно установленного корневого сертификата. Это может быть очень утомительной процедурой, и вы будете разочарованы, так как большинство ЦС используют несколько сертификатов по различным причинам, от снижения воздействия потенциального компромисса на маркетинговые и бизнес-соображения.
Вы никогда не должны установить сертификат, загруженный из Интернета в качестве доверенного центра сертификации, если вы не можете проверить его достоверность до предустановленного сертификата.
Так как ответ на ваш вопрос: если у вас не будет много времени и терпения, а также желание узнать больше о PKI, чем хотелось бы большинству людей, просто найдите способ установить правильный корневой сертификат на вашей системы.
EDIT:
Я забыл упомянуть, что некоторые производители ОС (например, SuSE) имеют свои собственные сертификаты, предварительно установленные в их системе управления пакетами. В этом случае загрузка пакетов из официальных репозиториев с использованием этой системы управления пакетами должна быть достаточно безопасной, чтобы вам не нужно беспокоиться ни с одним из вышеперечисленных вопросов, чтобы гарантировать правильность пакета корневого сертификата.
спасибо большое! привет, Крис – chris01 2010-11-24 20:24:28