Le fichier de clés certifiées a-t-il besoin du certificat de sous-organisme?
https://stackoverflow.com/questions/353010
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'essaie de configurer une infrastructure à clé publique hiérarchique. Puis-je créer un fichier de clés certifiées contenant uniquement le certificat de l'autorité de certification racine; cela signifie-t-il que mon application approuve les certificats signés par un certificat de sous-autorité de certification, lui-même signé par l'autorité de certification racine?
En passant, il semble que vous deviez fournir une chaîne de certificats complète, y compris le certificat racine ca. Certes, si la racine ca est digne de confiance, le certificat n’aurait pas besoin d’être envoyé? Nous voulons juste vérifier si le prochain certificat est signé par celui-ci.
La solution
Le magasin de relations de confiance ne doit contenir que les autorités de certification racines, pas les intermédiaires.
Un magasin d'identités doit contenir des clés privées, chacune associée à sa chaîne de certificats, à l'exception de la racine.
De très nombreuses applications dans la nature sont mal configurées et, lorsqu'elles essaient de s'identifier (par exemple, un serveur s'authentifiant avec SSL), elles n'envoient que leur propre certificat et il leur manque les intermédiaires. Il y en a moins qui envoient par erreur la racine dans la chaîne, mais c'est moins nocif. La plupart des constructeurs de chemins de certificats l'ignoreront et trouveront un chemin vers une racine à partir de leur magasin de clés approuvé.
Les suppositions de la question initiale vont droit au but.
