Braucht ein Trusts das Sub-CA-Zertifikat?
https://stackoverflow.com/questions/353010
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich versuche, eine hierarchische PKI-Setup. Kann ich einen Trusts enthält nur das Root-CA-Zertifikat erstellen und dass meine Anwendung vertraut Zertifikate bedeuten ein Sub-CA-Zertifikat signiert, welches wiederum von dem Root-CA unterzeichnet?
Als beiseite, scheint es, dass Sie eine gesamte Zertifikatskette bereitstellen muss, einschließlich der Root-CA-Zertifikat. Sicher, wenn die Root-CA vertrauenswürdig ist, muss das Zertifikat sollte nicht gesendet werden? Wir wollen nur, um zu überprüfen, ob das nächste Zertifikat nach unten, indem sie es unterzeichnet ist.
Lösung
Der Vertrauensspeicher sollte nur die Stammzertifizierungsstellen enthalten, nicht Zwischenprodukte.
Ein Identitätsspeicher private Schlüssel enthalten soll, jede mit ihrer Zertifikatskette verbunden ist, mit Ausnahme der Wurzel.
Viele sind viele Anwendungen in der freien Natur falsch konfiguriert, und wenn sie versuchen, sich zu identifizieren (sagen wir, ein Server selbst mit SSL Authentifizierung), sie nur ihr eigenes Zertifikat senden, und die Zwischenprodukte fehlen. Es gibt weniger, dass fälschlicherweise die Wurzel als Teil der Kette senden, aber dies ist weniger schädlich. Die meisten Zertifikatspfad Bauer wird es einfach ignorieren, und einen Pfad zu einer Wurzel aus ihren vertrauenswürdigen Schlüsselspeichern finden.
Die Voraussetzungen in der ursprünglichen Frage sind direkt am Ziel.
