Нужен ли доверенному хранилищу сертификат суб-CA?
https://stackoverflow.com/questions/353010
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я пытаюсь настроить иерархическую PKI.Могу ли я создать хранилище доверенных сертификатов, содержащее только сертификат корневого ЦС, и будет ли это означать, что мое приложение доверяет сертификатам, подписанным сертификатом субЦС, который, в свою очередь, подписан корневым ЦС?
Кроме того, кажется, что вы должны предоставить всю цепочку сертификатов, включая сертификат корневого центра сертификации.Конечно, если корневой центр сертификации является доверенным, сертификат не нужно отправлять?Мы просто хотим проверить, подписан ли им следующий сертификат.
Решение
Хранилище доверенных сертификатов должно содержать только корневые центры сертификации, а не промежуточные центры сертификации.
Хранилище удостоверений должно содержать закрытые ключи, каждый из которых связан со своей цепочкой сертификатов, за исключением корня.
Многие, многие приложения в дикой природе настроены неправильно, и при попытке идентифицировать себя (скажем, сервер, аутентифицирующий себя с помощью SSL) они отправляют только свой собственный сертификат и пропускают промежуточные звенья.Меньше таких, которые ошибочно отправляют рут как часть цепочки, но это менее вредно.Большинство разработчиков путей сертификатов просто проигнорируют его и найдут путь к корню из своего доверенного хранилища ключей.
Предположения в исходном вопросе точны.
