Are o truststore nevoie de certificatul sub-CA?

voturi
7

Am încercat să setup un PKI ierarhic. Pot crea un truststore care conține numai certificatul CA rădăcină, și care va însemna trusturi cererea mea de certificate semnate de un certificat de sub-CA, care este la rândul său, semnat de CA rădăcină?

Ca o paranteza, se pare că trebuie să ofere un întreg lanț de certificate, inclusiv certificatul CA rădăcină. Cu siguranță, dacă Root este de încredere, certificatul nu ar trebui să fie trimise? Vrem doar pentru a verifica dacă următorul certificatul jos este semnat de acesta.

Întrebat 09/12/2008 la 15:59
sursa de către utilizator
În alte limbi...                            


1 răspunsuri

voturi
6

Magazinul de încredere ar trebui să conțină numai rădăcină, nu AC intermediari.

Un magazin de identitate trebuie să conțină chei private, fiecare asociat cu lanțul său certificat, cu excepția rădăcinii.

Multe multe aplicații, în sălbăticie sunt configurate greșit, și atunci când se încearcă să se identifice (să zicem, un server de autentificare în sine, cu SSL), ei trimit doar propriul lor certificat, și lipsesc intermediarii. Sunt mai putini cei care trimit în mod greșit rădăcina ca parte a lanțului, dar acest lucru este mai puțin dăunător. Cei mai mulți constructori de cale certificat pe care îl vor ignora, și de a găsi o cale spre o rădăcină de la magazinul lor cheie de încredere.

Supozițiilor în întrebarea inițială sunt chiar la țintă.

Publicat 10/12/2008 la 00:01
sursa de către utilizator

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more