Нужно помочь создать цепочку авторитета Truststore (в Tomcat)
https://stackoverflow.com/questions/2935603
-
05-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Ведут ... Я не эксперт, безусловно, в безопасности приложений через SSL, но пытаюсь установить тестовую среду, которая включает в себя все возможные сценарии, которые мы можем столкнуться с производством. Для этого у меня есть дерево властей сертификатов (CAS), которые являются эмитентами ассортимента тестовых клиентских сертификатов и сертификатов узлов / серверов (сложная тестовая среда, представляющая различные опубликованные веб-сервисы и другие приложения, с которыми мы интегрируем).
Структура этих CAS заключается в следующем: root CA, который подписал / выпущено sub ca1, sub ca2 и sub ca3. Эти подвески были подписаны / выпущены все сертификаты этих различных узлов и клиентов в окружающей среде.
Теперь на вопрос .... В доверенном месте моего приложения я хотел бы доверять все подписано Sub Ca1, и Sub Ca2, но не Sub Ca3 (ненадежный). Значит ли это, что My Truststore должен (1) включать только Sub Ca1 и Sub Ca2, или (2) Должен ли он включать корневой CA, Sub Ca1 и Sub Ca2?
Я не знаю, что такое правильный способ представить эту цепочку доверия в Truststore. В будущем я также хотел бы добавить sub ca4 (также подписанный / выданный корнем CA), но добавьте это в список отзыва сертификата (CRL) для целей тестирования.
Раньше времени спасибо за любую помощь относительно этого. Это очень ценится.
Решение
Будьте: я не собираюсь тестировать это, поэтому надеюсь, что мой ответ правильный.
Я думаю, что ваше основное предположение верно. Я не верю, что вы можете избирательно отозвать доверие без написания пользовательского кода, поэтому ваше Truststore должно содержать только сертификаты, которые полностью доверяют. Так что оставьте Root Ca Out и выберите свой вариант (1).
Как видите, пытаясь обеспечить соблюдение такого тонкозернистого контроля доступа плохо подходит для Java (и большинству всех других системных) X509 с сертификатом модели аутентификации. Они в основном предназначены для проверки идентификации личности до Verisign, Thawte, Godaddy, GlobalSign и т. Д. Для сертификатов SSL и сертификатов подписания кода. Он может поддерживать другие модели, в том числе самозащитыми сертификаты, но не без значительных болей в передней передней части и продолжающихся поддержанных головных болей.
