certificati autofirmati che non sono i certificati finali nel percorso

4

Le specifiche X.509 rendono dichiarazioni frequenti come questa:

  (b)  If certificate i is self-issued and it is not the final
       certificate in the path, skip this step for certificate i.

Come puoi avere un certificato che si è auto-rilasciato e non essere il certificato finale nel percorso? L'emittente e il soggetto sono uguali a come dovresti trovare il certificato padre?

    
posta compcert 11.03.2012 - 00:28
fonte

2 risposte

4

Autofirmati e auto-emessi sono due cose diverse. Pertanto, il certificato auto-emesso ha lo stesso soggetto dell'emittente, ma non è firmato dalla stessa chiave. Ciò significa che esiste un altro certificato che associa la chiave pubblica utilizzata per firmare il certificato auto-emesso.

Questo può essere usato per il rollover dei tasti, ad es. un'organizzazione inizia a utilizzare una nuova chiave, crea un nuovo certificato autofirmato e crea un certificato auto-emesso per la vecchia chiave.

    
risposta data 11.03.2012 - 13:41
fonte
3

Auto-emesso significa che l'entità che ha emesso (firmato) il certificato è la stessa dell'entità che ha ricevuto il certificato e detiene la chiave pubblica in essa contenuta. Nel contesto di RFC 5280, un certificato auto emesso è definito come:

A certificate is self-issued if the same DN appears in the subject
and issuer fields (the two DNs are the same if they match according
to the rules specified in Section 7.1)

Si noti che le regole di corrispondenza dei nomi richiedono una normalizzazione piuttosto complessa di spazi bianchi e casi.

Autofirmato significa che un certificato è stato firmato dalla chiave privata che corrisponde alla chiave pubblica nel certificato.

I certificati auto emessi possono essere autofirmati. O no. Ha senso avere un certificato che è sia auto-emesso che autofirmato nel caso in cui l'auto-emissione fosse intesa a modificare altre caratteristiche del certificato, come le estensioni, le date di validità o anche i dettagli di codifica del nome.

In ogni caso, non si trovano i certificati parent basati solo sulla chiave; la costruzione del percorso dei certificati tende a utilizzare i nomi e gli "identificatori delle chiavi" ( Authority Key Identifier , < a href="http://tools.ietf.org/html/rfc5280#section-4.2.1.2"> Subject Key Identifier ) e l'URL di download per la CA di emissione nel Authority Information Access estensione. Ci sono molti più modi di quello; vedi RFC 4158 per una discussione più approfondita. In conclusione, i certificati autofirmati, siano essi autofirmati o meno, possono verificarsi nel mezzo di catene di certificati.

    
risposta data 12.08.2013 - 23:10
fonte

Leggi altre domande sui tag