Come funziona la verifica della catena di affidabilità per l'autenticazione basata su certificato sul lato server?

2

In questo momento ho bisogno di importare il cert della Root-CA, il cert della CA intermediaria e il cert del Client sul client perché sia in grado di connettersi al server. Il server ha accesso al certificato della CA radice tramite la direttiva SSLCACertificateFile.

Suppongo che al momento il server non possa verificare l'Intermediate-CA perché non ha accesso al suo certificato. Quindi interroga il client. È giusto?

Se è così: come posso dare al server la possibilità di verificare la catena di fiducia da sola? Forse un URL nel certificato dei firmatari? L'aggiunta di più di una direttiva SSLCACertificateFile non ha funzionato.

    
posta CCK1979 05.05.2018 - 19:42
fonte

1 risposta

3

Fornire la catena completa (vale a dire tutti i certificati intermedi ma non il certificato di origine) è in realtà il modo normale di scambiare certificati poiché l'altra parte si aspetta solo che abbia il certificato radice attendibile. Questo vale sia per i certificati client e server.

Tuttavia, dovrebbe essere possibile fornire certificati di catena che il client non invia all'interno dello stesso file CA in cui il server ha le CA radice affidabili utilizzate per l'autenticazione del client. Tieni presente che con SSLCACertificateFile specifichi un file che può contenere diversi certificati (semplicemente concatenati) e non solo uno solo.

    
risposta data 05.05.2018 - 20:20
fonte

Leggi altre domande sui tag