Μήπως μια truststore χρειάζεται το πιστοποιητικό υπο-CA;

ψήφοι
7

Προσπαθώ να στήσετε μια ιεραρχική PKI. Μπορώ να δημιουργήσω ένα truststore που περιέχει μόνο το πιστοποιητικό CA ρίζας, και θα αυτό σημαίνει ότι τα πιστοποιητικά που υπογράφεται από πιστοποιητικό υπο-ca, που είναι με τη σειρά που υπογράφεται από τη ρίζα γα εμπιστεύεται την αίτησή μου;

Ως μέρος, φαίνεται ότι πρέπει να δώσετε μια ολόκληρη αλυσίδα πιστοποιητικών, συμπεριλαμβανομένου του πιστοποιητικού ρίζας. Σίγουρα εάν η ρίζα CA είναι αξιόπιστο, το πιστοποιητικό δεν θα πρέπει να αποσταλούν; Εμείς απλά θέλουμε να ελέγξετε αν η επόμενη πιστοποιητικό κάτω υπογράφεται από αυτόν.

Δημοσιεύθηκε 09/12/2008 στις 15:59
πηγή χρήστη
Σε άλλες γλώσσες...                            


1 απαντήσεις

ψήφοι
6

Το κατάστημα της εμπιστοσύνης πρέπει να περιλαμβάνει μόνο τις ΑΠ ρίζας, όχι ενδιάμεσα.

Ένα κατάστημα της ταυτότητας πρέπει να περιέχει τα ιδιωτικά κλειδιά, κάθε που συνδέονται με αλυσίδα πιστοποιητικών, εκτός από τη ρίζα.

Πολλές, πολλές εφαρμογές στην άγρια ​​φύση είναι εσφαλμένες, και όταν προσπαθείτε να προσδιορίσετε τον εαυτό τους (για παράδειγμα, ένας διακομιστής που επικυρώνει το ίδιο με SSL), στέλνουν μόνο το δικό τους πιστοποιητικό, και λείπουν τα ενδιάμεσα. Υπάρχουν λιγότερες από λάθος στείλει τη ρίζα ως μέρος της αλυσίδας, αλλά αυτό είναι λιγότερο επιβλαβή. Οι περισσότεροι κατασκευαστές πορεία πιστοποιητικό θα το αγνοήσει απλά, και να βρει μια διαδρομή σε μια ρίζα από αξιόπιστες κλειδί κατάστημά τους.

Οι υποθέσεις στην αρχική ερώτηση είναι ακριβώς στο στόχο.

Απαντήθηκε 10/12/2008 στις 00:01
πηγή χρήστη

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more