¿Un almacén de confianza necesita el certificado sub-ca?
https://stackoverflow.com/questions/353010
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy intentando configurar una PKI jerárquica. ¿Puedo crear un almacén de confianza que contenga solo el certificado raíz ca, y eso significará que mi aplicación confía en certificados firmados por un certificado sub-ca que a su vez está firmado por la raíz ca?
Como comentario aparte, parece que debe proporcionar una cadena de certificados completa, incluido el certificado raíz ca ¿Seguramente si la raíz ca es confiable, el certificado no debería ser enviado? Solo queremos verificar si el siguiente certificado firmado está firmado por él.
Solución
El almacén de confianza solo debe contener las CA raíz, no intermedias.
Un almacén de identidad debe contener claves privadas, cada una asociada con su cadena de certificados, excepto la raíz.
Muchas, muchas aplicaciones en la naturaleza están mal configuradas, y cuando intentan identificarse (por ejemplo, un servidor que se autentica con SSL), solo envían su propio certificado y faltan los intermedios. Hay menos que envían por error la raíz como parte de la cadena, pero esto es menos dañino. La mayoría de los creadores de rutas de certificados simplemente lo ignorarán y encontrarán una ruta a una raíz desde su almacén de claves de confianza.
Las suposiciones en la pregunta original son correctas en el objetivo.
