Un certificato può avere più catene e più radici autofirmate?

7

Il seguente documento MSFT ha questo paragrafo:

  1. All possible certificate chains are built using locally cached certificates. If none of the certificate chains ends in a self-signed certificate, CryptoAPI then selects the best possible chain and attempt to retrieve issuer certificates specified in the authority information access extension to complete the chain. This process is repeated until a chain to a self-signed certificate is built.

  2. For each chain that ends in a self-signed certificate in the trusted root store, revocation checking is performed.

Questo implica che un singolo certificato può avere più "catene". Come sarebbe questo, e dove verrebbe usato?

    
posta random65537 02.06.2012 - 05:14
fonte

1 risposta

8

Più radici vengono create quando

Questo vale per ogni certificato nella gerarchia CA.

Solo per rendere le cose più interessanti, la lista di revoche stessa (CRL / OCSP) è firmata e potrebbe avere la propria PKI. Potrebbero anche avere il proprio set di chiavi. (Per verificare il verificatore?)

In altre parole,

  • Le catene scoperte durante la verifica delle risposte CRL, Deltas e OCSP contano anche verso una radice CA rilevata. (nota che la verifica OCSP può essere soppressa tramite id-pkix-ocsp-nocheck )

L'architettura CA ha un effetto sul processo di creazione della catena. Prima che una catena di certificati distinta sia considerata valida, il motore di concatenamento crea tutte le catene che sono possibili con il certificato che si sta verificando. Se un certificato di entità finale è stato generato da una CA appena configurata, la catena di certificati è semplice. Tuttavia, un certificato emesso da una CA rinnovata o in cui esiste una certificazione incrociata tra la CA di emissione e un'altra CA, potrebbero esistere più catene di certificati.

L'intero grafo delle catene di certificati è costruito e quindi ordinato dalla "qualità" della catena. La catena di qualità migliore per un determinato certificato finale viene restituita all'applicazione chiamante come catena predefinita.

Di seguito sono illustrate le procedure di convalida in una PKI Single, N-Tier, Cross e Bridge

CA singola

Nlivello

CA Cross Trust

CABridge

Maggiori informazioni su La topologia PKI e i rinnovi dei certificati sono in fondo a questo articolo

    
risposta data 02.06.2012 - 22:06
fonte