Robi zaufanych potrzebują certyfikat sub-ca?

głosy
7

Próbuję konfiguracji hierarchiczną PKI. Mogę stworzyć magazynu zaufanych certyfikatów zawierający tylko certyfikat urzędu certyfikacji, a to oznacza, że ​​moje ufa aplikacyjne certyfikaty podpisane przez certyfikat sub-ca, który z kolei jest podpisany przez urząd certyfikacji?

Tak na marginesie, wydaje się, że należy podać cały łańcuch certyfikatów, w tym certyfikat głównego urzędu certyfikacji. Z pewnością, jeśli urząd certyfikacji jest zaufany certyfikat nie powinien muszą być wysyłane? Chcemy tylko, aby sprawdzić, czy obok dół certyfikat jest podpisany przez niego.

Utwórz 09/12/2008 o 15:59
źródło użytkownik
W innych językach...                            


1 odpowiedzi

głosy
6

Sklep zaufanie powinno zawierać tylko głównych urzędów certyfikacji, a nie półprodukty.

Sklep tożsamość powinna zawierać klucze prywatne, każdy związany z łańcucha certyfikatów, z wyjątkiem korzenia.

Wiele, wiele zastosowań w środowisku naturalnym są źle skonfigurowane, a kiedy próbuje się identyfikować (powiedzmy, serwer uwierzytelniający się z SSL), tylko wysłać swój certyfikat, a brakuje związków pośrednich. Są mniej, że przez pomyłkę wysłać korzeń jako części łańcucha, ale jest to mniej szkodliwe. Większość budowniczych ścieżka certyfikatu będzie po prostu zignorować i znaleźć ścieżkę do katalogu głównego z ich magazynu zaufanych kluczy.

Te przypuszczenia w pierwotnym pytaniu są trafne.

Odpowiedział 10/12/2008 o 00:01
źródło użytkownik

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more