Será que um truststore precisa do certificado de sub-ca?

votos
7

Eu estou tentando configurar um PKI hierárquica. Posso criar um truststore que contenha apenas o certificado da CA raiz, e isso significa meus confia aplicação certificados assinados por um certificado de sub-ca, que por sua vez é assinado pela CA raiz?

Como um aparte, parece que você deve fornecer toda uma cadeia de certificados, incluindo o certificado de ca raiz. Certamente, se a CA raiz é confiável, o certificado não precisa ser enviado? Nós só queremos verificar se o próximo certificado para baixo é assinado por ele.

Publicado 09/12/2008 em 15:59
fonte usuário
Em outras línguas...                            


1 respostas

votos
6

O armazenamento de confiança deve conter apenas os CAs raiz, e não intermediários.

Uma loja de identidade deve conter chaves privadas, cada um associado a sua cadeia de certificados, exceto para a raiz.

Muitas, muitas aplicações no selvagem são mal configurados, e ao tentar identificar-se (por exemplo, um servidor de autenticação-se com SSL), eles só enviar o seu próprio certificado e estão faltando os intermediários. Há menos que erroneamente enviar a raiz como parte da cadeia, mas isso é menos prejudicial. A maioria dos construtores de caminhos certificado vai simplesmente ignorá-la, e encontrar um caminho para uma raiz de seu armazenamento de chaves confiável.

As suposições na pergunta original estão no caminho certo.

Respondeu 10/12/2008 em 00:01
fonte usuário

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more