Faz um truststore precisa do certificado de sub-ca?
-
20-08-2019 - |
Pergunta
Eu estou tentando configurar um PKI hierárquica. Posso criar um truststore que contenha apenas o certificado da CA raiz, e isso significa meus trusts aplicação certificados assinado por um certificado sub-ca, que por sua vez é assinado pela CA raiz?
Como um aparte, parece que você deve fornecer toda uma cadeia de certificados, incluindo o certificado de ca raiz. Certamente, se a CA raiz é confiável, o certificado não precisa ser enviado? Nós só queremos verificar se a próxima para baixo certificado é assinado por ele.
Solução
O armazenamento de confiança deve conter apenas os CAs raiz, e não intermediários.
Uma loja de identidade deve conter chaves privadas, cada um associado a sua cadeia de certificados, exceto para a raiz.
Muitas, muitas aplicações na natureza são mal configurado, e ao tentar identificar-se (por exemplo, um servidor de autenticação-se com SSL), eles só enviar o seu próprio certificado e estão faltando os intermediários. Há menos que erroneamente enviar a raiz como parte da cadeia, mas isso é menos prejudicial. A maioria dos construtores de caminhos certificado vai simplesmente ignorá-la, e encontrar um caminho para uma raiz de seu armazenamento de chaves confiável.
As suposições na pergunta original estão no caminho certo.