Cómo determinar la raíz de un certificado?
https://stackoverflow.com/questions/1567106
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Mi raíz de los certificados se almacenan en varios ficheros en ASN.1 formato.
Asumir que tengo un encadenado certificado de entidad final en el mismo formato.¿Cómo puedo determinar de manera eficiente el certificado raíz de este certificado?
Actualmente tengo que tomar una aproximación de fuerza bruta que extrae la clave pública del certificado de entidad final y valida que en contra de todos los certificados raíz y el primer partido es considerado el certificado raíz.Es este el enfoque correcto??
Solución
Para encontrar el emisor de un certificado, debe utilizar el "Emisor DN" y coinciden con el "Subject DN" de los certificados de la CA de la tienda.Esto debería reducir significativamente el número de verificación de la firma.
Es posible tener diferentes certificados de CA con el mismo "Sujeto DN" (con diferentes claves públicas, fechas de validez, etc.), por lo que su algoritmo debe estar preparado para manejar eso.El "Identificador de Clave de Asunto" y el "Identificador de Clave de Autoridad" también puede ayudar a reducir el número de candidatos.
Encontrar a la autoridad de emisión es sólo una pequeña parte de la "enfoque de derechos" para la validación de certificados.Yo le aconsejo que mire la parte 6 de http://www.ietf.org/rfc/rfc5280.txt "La Certificación De La Validación De La Ruta".Algunas partes son más probablemente una exageración (es decir,la mayoría de las cosas que tienen que ver con las políticas).
