Question

Я пытаюсь настроить иерархическую PKI. Могу ли я создать доверенное хранилище, содержащее только корневой сертификат CA, и будет ли это означать, что мое приложение доверяет сертификатам, подписанным сертификатом sub-ca, который в свою очередь подписан корневым сертификатом ca?

Кроме того, кажется, что вы должны предоставить всю цепочку сертификатов, включая сертификат корневого сертификата. Конечно, если корневая учетная запись является доверенной, сертификат не нужно отправлять? Мы просто хотим проверить, подписан ли им следующий сертификат.

erickson · Answer 1 · 10 декабря 2008

Хранилище доверенных сертификатов должно содержать только корневые центры сертификации, а не промежуточные.

Хранилище идентификаторов должно содержать закрытые ключи, каждый из которых связан со своей цепочкой сертификатов, за исключением корневого.

Многие, многие дикие приложения неправильно настроены, и при попытке идентифицировать себя (скажем, сервер, аутентифицирующий себя с помощью SSL), они отправляют только свой собственный сертификат и пропускают промежуточные соединения. Меньше, кто по ошибке отправляет рут как часть цепочки, но это менее вредно. Большинство создателей пути сертификата просто игнорируют его и находят путь к корню из своего хранилища доверенных ключей.

Предположения в исходном вопросе верны цели.

Нужно ли доверенному хранилищу сертификат sub-ca?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нужно ли доверенному хранилищу сертификат sub-ca?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы