Un truststore ha bisogno del certificato sub-ca?
https://stackoverflow.com/questions/353010
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto cercando di impostare un PKI gerarchico. Posso creare un truststore contenente solo il certificato root ca, e ciò significa che la mia applicazione considera attendibili i certificati firmati da un certificato secondario che a sua volta è firmato dal certificato root?
A parte, sembra che sia necessario fornire un'intera catena di certificati, incluso il certificato root ca. Sicuramente se il root ca è affidabile, non è necessario inviare il certificato? Vogliamo solo verificare se il prossimo certificato verso il basso è firmato da esso.
Soluzione
Il truststore dovrebbe contenere solo le CA principali, non le sostanze intermedie.
Un archivio identità deve contenere chiavi private, ognuna associata alla sua catena di certificati, ad eccezione del root.
Molte, molte applicazioni in natura sono configurate in modo errato e quando provano a identificarsi (ad esempio un server che si autentica con SSL), inviano solo il proprio certificato e mancano gli intermedi. Ci sono meno che inviano erroneamente la radice come parte della catena, ma questo è meno dannoso. La maggior parte dei creatori di percorsi certificati lo ignorerà e troverà un percorso verso una radice dal loro keystore attendibile.
Le supposizioni nella domanda originale sono esattamente sul bersaglio.
