Come identificare quale CA radice utilizza il certificato client?

Naviga le tue risposte
2

Come possiamo identificare quale client CA root utilizzato quando ci sono più CA radice sul server?

Possiamo confrontare le chiavi pubbliche del certificato client e del certificato di origine, ma se abbiamo molti certificati di root questo è un sovraccarico non necessario.

C'è un modo per scoprire dal certificato client (x.509) quale CA radice (alias) viene usato?

Modificato per aggiungere questo chiarimento:

se i certificati intermedi nella catena di certificati non sono disponibili / accessibili e se la stessa CA ha emesso tutti i certificati radice multipli (ad esempio tenant diversi), esiste un altro approccio per far corrispondere il certificato client in entrata al certificato radice corrispondente su il server?

    
posta Nerdyme 24.07.2015 - 13:14
fonte

2 risposte

4

Sì. Il campo Emittente nel certificato x509 viene utilizzato per specificare l'Oggetto del prossimo certificato nel percorso del certificato. Se continui a reclamare la catena di certificati, alla fine arriverai al nome soggetto del certificato di origine.

    
risposta data 24.07.2015 - 13:22
fonte
4

In realtà non è così complicato, il Browser dei certificati del tuo sistema operativo farà tutto il controllo dei tasti per te. Ad esempio, ecco il certificato per *.stackexchange.com visualizzato tramite il Visualizzatore certificati di Windows. (Ho fatto clic sull'icona del lucchetto in Chrome e su "Informazioni sul certificato")

SinoticheilcampoIssuedby:elencailnomevisualizzatodellaCAemittente.Questonomenonènecessariamenteunivoco,quindiperulterioridettagli,vaiallaschedaDetailsetrovailcampoIssuer:

Questoelencailnomedistintocompleto(DN)dellaCAdiemissione,chesaràunivocoall'internodellaloroorganizzazione,mapotrebbeesserefalsificatocredo.Perverificareicertificatieffettivi

Qui puoi aprire ciascuno dei certificati nella catena e controllarli.

    
risposta data 24.07.2015 - 14:49
fonte

Leggi altre domande sui tag

Certificato client vs HMAC È una buona idea usare una chiave OpenPGP senza password?