Ho creato una CA principale e una CA intermedia, quindi ho utilizzato l'intermediario per firmare un certificato foglia, allo scopo di abilitare SSL su vari server Web in una rete interna.
Sto cercando di capire se ho bisogno di distribuire entrambi i certificati CA root e intermediate nei miei truststor dei miei client, o se posso cavartela solo distribuendo la root, come spiegato in: Vedo mettere il CA subordinato (intermedio) o root certificato nel mio truststore?
Effettuando un test rapido con curl contro un endpoint https con un certificato foglia, firmato dall'intermedio, appare che ho bisogno della catena completa, ad esempio:
curl --cacert chain.crt https://my-endpoint:8080/
Quando ho provato solo con la CA radice, ho ricevuto un errore:
curl --cacert root.crt https://my-endpoint:8080/
curl: (60) SSL certificate problem: unable to get issuer certificate
Perché devo arricciare l'intera catena invece della sola CA radice? Devo creare certificati foglia con un'opzione speciale per incorporare l'intera catena?
Modifica: un'altra risposta che indica che dovrei avere solo il root: link
Modifica 2: il server web che sto testando è Vault - non sono sicuro se ciò è pertinente, ma forse c'è qualcosa di sbagliato in il modo in cui il server presenta il suo certificato; ha bisogno di servire la catena completa, giusto? Come faccio a verificare che sia o non sia al servizio dell'intera catena?