¿Un almacén de confianza necesita el certificado de subcaja?

Question

¿Un almacén de confianza necesita el certificado de subcaja?

votos

7

Estoy tratando de configurar una PKI jerárquica. ¿Puedo crear un almacén de confianza que contenga solo el certificado raíz ca, y eso significa que mi aplicación confía en certificados firmados por un certificado de ca-ca, que a su vez está firmado por la raíz ca?

Como comentario adicional, parece que debe proporcionar una cadena de certificados completa, incluido el certificado raíz ca. Seguramente si la raíz ca es confiable, ¿no debería enviarse el certificado? Solo queremos verificar si el siguiente certificado está firmado por él.

java ssl certificate certificate-authority

Publicado el 09/12/2008 a las 15:59
fuente por usuario Draemon

En otros idiomas...

1 respuestas

erickson · Accepted Answer · 2008-12-10 00:01

El almacén de confianza solo debe contener las CA raíz, no intermedios.

Un almacén de identidades debe contener claves privadas, cada una asociada a su cadena de certificados, a excepción de la raíz.

Muchas, muchas aplicaciones en la naturaleza están mal configuradas, y cuando intentan identificarse (digamos, un servidor que se autentica con SSL), solo envían su propio certificado y faltan los intermedios. Hay menos que envían erróneamente la raíz como parte de la cadena, pero esto es menos dañino. La mayoría de los creadores de rutas de certificado simplemente lo ignorarán y encontrarán una ruta a una raíz desde su almacén de claves de confianza.

Las suposiciones en la pregunta original son correctas en el objetivo.