トラストストアは、サブCA証明書を必要としていますか？

Question

私は、階層PKIは、セットアップしようとしています。私は唯一のルートCA証明書を含むトラストストアを作成することができ、それが今度はルートCAによって署名されたサブCA証明書によって署名された私のアプリケーションが信頼証明書を意味する？

余談として、あなたがルートCA証明書を含め、証明書チェーン全体を提供しなければならないようです。ルートCAが信頼されている場合は確かに、証明書を送信する必要はありませんか？私達はちょうどダウン次の証明書は、それによって署名されているかどうかを確認したい。

Answer 1

トラストストアのみがルートCAではなく中間体が含まれている必要があります。

IDストアは、ルートを除き、秘密鍵、その証明書チェーンに関連する各が含まれている必要があります。

野生の多くの、多くのアプリケーションが誤って設定されている、と自分自身を特定しようとすると（たとえば、SSLを使用して自身を認証サーバが）、彼らは自分自身の証明書を送信し、中間体が欠落しています。そこ誤っチェーンの一部としてrootを送ることが少ないですが、これはそれほど有害です。ほとんどの証明書パスビルダーはそれを無視して、その信頼されたキーストアからルートへのパスを見つけます。

元の質問での仮定は、ターゲット上で右されます。