Perché il mio certificato foglia non è valido solo per la CA radice

4

Ho creato una CA principale e una CA intermedia, quindi ho utilizzato l'intermediario per firmare un certificato foglia, allo scopo di abilitare SSL su vari server Web in una rete interna.

Sto cercando di capire se ho bisogno di distribuire entrambi i certificati CA root e intermediate nei miei truststor dei miei client, o se posso cavartela solo distribuendo la root, come spiegato in: Vedo mettere il CA subordinato (intermedio) o root certificato nel mio truststore?

Effettuando un test rapido con curl contro un endpoint https con un certificato foglia, firmato dall'intermedio, appare che ho bisogno della catena completa, ad esempio:

curl --cacert chain.crt https://my-endpoint:8080/

Quando ho provato solo con la CA radice, ho ricevuto un errore:

curl --cacert root.crt https://my-endpoint:8080/
curl: (60) SSL certificate problem: unable to get issuer certificate

Perché devo arricciare l'intera catena invece della sola CA radice? Devo creare certificati foglia con un'opzione speciale per incorporare l'intera catena?

Modifica: un'altra risposta che indica che dovrei avere solo il root: link

Modifica 2: il server web che sto testando è Vault - non sono sicuro se ciò è pertinente, ma forse c'è qualcosa di sbagliato in il modo in cui il server presenta il suo certificato; ha bisogno di servire la catena completa, giusto? Come faccio a verificare che sia o non sia al servizio dell'intera catena?

    
posta devth 14.07.2016 - 14:33
fonte

1 risposta

4

Why do I need to provide curl the full chain instead of only the root CA?

Per costruire la catena di fiducia il cliente deve conoscere il certificato intermedio in qualche modo. Di solito ciò avviene inviando sia il certificato foglia e il certificato intermedio nell'handshake TLS, ma è un errore comune nella configurazione del server per inviare solo il certificato foglia. Questo è probabilmente il problema anche nel tuo caso.

    
risposta data 14.07.2016 - 15:21
fonte

Leggi altre domande sui tag