Обеспечить цепочку CA для моего API: я должен включить все цепочки в цепочку?

Question

Добрый день!

Я разрабатываю REST-подобный API, который доступен через HTTPS.Мой сертификат выдан центром сертификации и имеет промежуточные сертификаты (3 уровня для моего сертификата: AddTrust -> Comodo -> EssentialSSL -> мой сертификат).

Я хотел бы предоставить цепочку сертификатов с моим .NETPHP SDK для пользователей моего API, таких как Facebook, делает: https://github.com/facebook/php-sdk/blob/master/src/fb_ca_chain_bundle.crt

Я создал похожий текстовый файл, упорядочивая свои сертификаты один за другим, и он работает для curl из командной строки и PHP curl.

Но это работает, когда у меня есть только один корневой сертификат (AddTrust в моем случае).

Должен ли я связать все сертификаты в цепочке с моим SDK или только одним корневым сертификатом?

Answer 1

Вам необходимо для объединения любых сертификатов, которые пользователи не ожидают получить.Если в цепочке отсутствует промежуточный сертификат, все нижеуказанные сертификаты будут недействительными.

Ваш сертификат был выдан EssentialSSL;без промежуточного сертификата EssentialSSL система не сможет узнать, действителен ли ваш сертификат или что он в конечном счете восходит к AddTrust.Например, у меня уже есть сертификаты для AddTrust и Comodo, но не EssentialSSL, поэтому моя система не будет считать ваш сертификат доверенным.

Что именно вы имеете в виду, когда говорите «это работает, когда у меня только один rootсертификат "?Вы всегда имеете только один корневой сертификат в цепочке, по определению;остальные - промежуточные сертификаты, выданные кем-то выше.Можете ли вы быть более конкретным относительно того, с какой проблемой вы на самом деле сталкиваетесь?