Braucht ein Trusts das Sub-CA-Zertifikat?

stimmen
7

Ich versuche, eine hierarchische PKI einrichten. Kann ich einen Trusts enthält nur das Root-CA-Zertifikat erstellen und dass meine Anwendung vertraut Zertifikate, die von einem Unter CA-Zertifikat signiert bedeuten, welche wiederum von dem Root-CA unterzeichnet?

Als beiseite, scheint es, dass Sie eine ganze Zertifikatskette, einschließlich der Root-CA-Zertifikat zur Verfügung stellen muss. Sicher, wenn die Root-CA vertrauenswürdig ist, muss das Zertifikat sollte nicht gesendet werden? Wir wollen nur, um zu überprüfen, ob das nächste Zertifikat nach unten, indem sie es unterzeichnet ist.

Veröffentlicht am 09/12/2008 um 15:59
quelle vom benutzer
In anderen Sprachen...                            


1 antworten

stimmen
6

Der Trust Store sollten nur die Stammzertifizierungsstellen enthalten, nicht Zwischenprodukte.

Ein Identitätsspeicher sollte private Schlüssel enthält, jede mit ihrer Zertifikatskette verbunden ist, mit Ausnahme der Wurzel.

Viele sind viele Anwendungen in der freien Natur falsch konfiguriert, und wenn sich zu identifizieren versuchen (sagen wir, ein Server selbst mit SSL Authentifizierung), sie nur ihr eigenes Zertifikat senden, und die Zwischenprodukte fehlen. Es gibt weniger, dass fälschlicherweise die Wurzel als Teil der Kette senden, aber dies ist weniger schädlich. Die meisten Zertifikatspfad Bauer wird es einfach ignorieren, und einen Pfad zu einer Wurzel aus ihren vertrauenswürdigen Schlüsselspeicher finden.

Die Voraussetzungen in der ursprünglichen Frage sind direkt am Ziel.

Beantwortet am 10/12/2008 um 00:01
quelle vom benutzer

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more