¿Un almacén de confianza necesita el certificado de subcaja?

votos
7

Estoy tratando de configurar una PKI jerárquica. ¿Puedo crear un almacén de confianza que contenga solo el certificado raíz ca, y eso significa que mi aplicación confía en certificados firmados por un certificado de ca-ca, que a su vez está firmado por la raíz ca?

Como comentario adicional, parece que debe proporcionar una cadena de certificados completa, incluido el certificado raíz ca. Seguramente si la raíz ca es confiable, ¿no debería enviarse el certificado? Solo queremos verificar si el siguiente certificado está firmado por él.

Publicado el 09/12/2008 a las 15:59
fuente por usuario
En otros idiomas...                            
1 respuestas
votos
6

El almacén de confianza solo debe contener las CA raíz, no intermedios.

Un almacén de identidades debe contener claves privadas, cada una asociada a su cadena de certificados, a excepción de la raíz.

Muchas, muchas aplicaciones en la naturaleza están mal configuradas, y cuando intentan identificarse (digamos, un servidor que se autentica con SSL), solo envían su propio certificado y faltan los intermedios. Hay menos que envían erróneamente la raíz como parte de la cadena, pero esto es menos dañino. La mayoría de los creadores de rutas de certificado simplemente lo ignorarán y encontrarán una ruta a una raíz desde su almacén de claves de confianza.

Las suposiciones en la pregunta original son correctas en el objetivo.

Respondida el 10/12/2008 a las 00:01
fuente por usuario
Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more