Примите участие ... Я пока не являюсь экспертом в области безопасности приложений через SSL, но я пытаюсь создать тестовую среду, включающую все возможные сценарии, с которыми мы можем столкнуться в производственном процессе.Для этого у меня есть дерево Центров сертификации (CA), которые являются источниками набора тестовых клиентских сертификатов и сертификатов узлов / серверов (сложная тестовая среда, представляющая различные опубликованные веб-службы и другие приложения, с которыми мы интегрируемся).
Структура этих CA является следующей: Корневой CA, который подписал / выпустил Sub CA1, Sub CA2 и Sub CA3.Затем эти подпрограммы подписали / выпустили все сертификаты этих различных узлов и клиентов в среде.
Теперь вопрос ... В доверенном хранилище моего приложения я бы хотел доверять всему, что подписано Sub CA1 и SubCA2, но не Sub CA3 (ненадежный).Означает ли это, что мое доверенное хранилище должно (1) ТОЛЬКО включать Sub CA1 и Sub CA2, или (2) должно ли оно включать Root CA, Sub CA1 и Sub CA2?
Я не знаю, как правильнопредставлять эту цепочку доверия в хранилище доверенных сертификатов.В будущем я также хотел бы добавить Sub CA4 (также подписанный / выданный корневым CA), но добавить его в список отзыва сертификатов (CRL) для целей тестирования.
Заранее спасибоза любую помощь по этому поводу.Это очень ценится.