我正在尝试设置分层PKI。我可以创建一个只包含根CA证书的信任库吗?这意味着我的应用程序将信任由下级CA证书签名的证书,而下级CA证书又由根CA签名。
另外,似乎您必须提供完整的证书链,包括根CA证书。如果根CA受信任,为什么还需要发送证书?我们只想检查下一个较低级别的证书是否由它签名。
信任库是否需要包含子CA证书?
11
- Draemon
1
还可以在信息安全StackExchange网站上查看这些相关问题:https://security.stackexchange.com/questions/119460/ https://security.stackexchange.com/questions/204000/ - Attila Csipak
1个回答
10
信任存储库应仅包含根CA,而不是中间证书。
身份存储库应包含私钥,每个私钥都与其证书链相关联,除了根证书。
许多应用程序在使用SSL进行身份验证时(例如服务器对自己进行身份验证),在尝试识别自己时被错误地配置,只发送自己的证书,并且缺少中间证书。较少的应用程序会将根证书误传为证书链的一部分,但这样做并不那么危险。大多数证书路径构建器将忽略它,并从其受信任的密钥库中找到到根的路径。
原始问题的假设是准确的。
- erickson
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接