هل تحتاج إلى truststore شهادة الفرعية كاليفورنيا؟
https://stackoverflow.com/questions/353010
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وأنا أحاول أن إعداد PKI الهرمي. هل يمكنني إنشاء truststore تحتوي فقط على شهادة CA الجذر، وسوف مما يعني أن تثق تطبيق شهادات موقعة من شهادة الفرعية كاليفورنيا الذي هو بدوره وقعه كاليفورنيا الجذري؟
وبوصفها جانبا، يبدو أنه يجب توفير سلسلة الشهادات بأكملها، بما في ذلك شهادة CA الجذر. بالتأكيد إذا كان يثق المرجع المصدق الجذر، يجب أن لا تحتاج إلى إرسال الشهادة؟ نحن نريد فقط للتحقق مما إذا تم توقيع شهادة القادمة أسفل منه.
المحلول
ويجب أن تحتوي على مخزن الثقة فقط المصدقة الجذر، وليس سيطة.
ومتجر على الهوية يجب أن تحتوي على مفاتيح خاصة، كل منها مرتبط مع سلسلة الشهادة الخاصة به، باستثناء الجذر.
والعديد والعديد من التطبيقات في البرية وتكوينها، وعند محاولة تحديد أنفسهم (مثلا، الخادم مصادقة نفسها مع SSL)، وأنها فقط إرسال الشهادة الخاصة بها، ومفقودة وسيطة. هناك أقل التي ترسل عن طريق الخطأ الجذر كجزء من السلسلة، ولكن هذا هو أقل ضررا. ومعظم بناة مسار الشهادة تجاهله، وإيجاد مسار إلى الجذر من مخزن المفاتيح ثقة بهم.
ووالافتراضات في السؤال الأصلي الحق على الهدف.
