Hai bisogno di aiuto la creazione di catena di un truststore di autorità (in Tomcat)
https://stackoverflow.com/questions/2935603
-
05-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
a Lead ... Io non sono un esperto, di gran lunga, in sicurezza delle applicazioni via SSL, ma sto cercando di creare un ambiente di test che include tutti i possibili scenari che possiamo incontrare nella produzione. Per questo ho un albero di autorità di certificazione (CA) che sono le emittenti di un assortimento di certificati client di prova, e il nodo / certificati di server (ambiente di test complessi che rappresentano i vari servizi web pubblicati e altre applicazioni che si integrano con).
La struttura di queste CA sono i seguenti: Root CA, che ha firmato / rilasciato Sub CA1, CA2 sub e sub CA3. Questi sottomarini hanno poi sottoscritto / rilasciato tutti i certificati di questi vari nodi e clienti per l'ambiente.
Ora per la domanda .... In truststore di mia domanda vorrei tutto la fiducia firmato da sub CA1, CA2 e secondaria, ma non secondaria CA3 (non attendibile). Questo significa il mio truststore dovrebbe (1) includere solo CA1 sub e sub CA2, o (2) dovrebbe includere Root CA, Sub CA1, CA2 e sub?
Non so qual è il modo corretto di rappresentare questa catena fiducia in un truststore. In futuro vorrei anche aggiungere un CA4 Sub (anche firmato / emesso dalla CA Root), ma aggiungere che a un elenco di revoche di certificati (CRL) a scopo di test.
Prima del tempo, vi ringrazio per tutto l'aiuto riguardo a questo. E 'molto apprezzato.
Soluzione
avvertimento: Non ho intenzione di testare questo modo spero che la mia risposta è corretta.
Credo che la vostra assunto di base è corretta. Non credo che ci si può fidare in modo selettivo revoca senza scrivere codice personalizzato, in modo che il truststore deve contenere solo i certificati che godono della fiducia del tutto. Quindi lasciare il CA principale fuori e scegliere l'opzione (1).
Come si può vedere, cercando di far rispettare il controllo di accesso a grana tale fine è poco adatto a Java (e la maggior parte di ogni altro sistema) certificato X509 modello di autenticazione basata su. Essi sono fondamentalmente progettati per la verifica in outsourcing identità Verisign, Thawte, GoDaddy, GlobalSign, ecc per i certificati SSL e dei certificati di firma codice. E 'in grado di supportare altri modelli, tra cui certificati autofirmati, ma non senza notevole dolore e di manutenzione in corso mal di testa up-front.
