Decrittazione SSL perché è richiesto il certificato CA radice sui client?

2

Forse una domanda veloce. Abbiamo Palo Alto che esegue la decrittazione SSL utilizzando un certificato CA secondario emesso dalla nostra CA principale interna. Funziona per i nostri computer di dominio Windows interni poiché la CA principale e la CA secondaria vengono trasferite a tutti tramite i Criteri di gruppo. La mia domanda è che alcuni utenti Mac con cui il GPO non funziona, quindi dovranno manualmente aggiungere i certificati.

La mia domanda è, se il subCA installato su Palo Alto (facendo generazione di SSL dinamico per siti), è installato anche su questi Mac. Perché gli utenti continuano a rilevare una connessione non sicura rilevata nel browser? Si lamenta che "questo certificato non può essere verificato fino a un'autorità di certificazione attendibile".

Se installo il certificato CA radice in aggiunta, non ricevono più errori. Evviva!

Tuttavia, la mia domanda è: perché i client hanno bisogno della CA radice se la CA secondaria (su Palo Alto) è stata quella che ha generato il certificato esplicito (come bankofamerica.com, ecc.).

    
posta Jim 14.05.2015 - 17:35
fonte

1 risposta

2

Il motivo è che la maggior parte degli archivi CERT considera solo certificati CA firmati da sé come certificati radice. Nella maggior parte dei casi, i certificati SubCA verranno aggiunti a un negozio chiamato "emittenti di certificati intermedi". Questo negozio non aggiunge alcuna fiducia al certificato, è solo una soluzione per il computer nel caso in cui il server invia solo il proprio certificato, non il certificato intermedio che collega alla radice.

(alcuni server mal configurati potrebbero inviare solo cert (A) di (A) - (B) - (C). Se (C) si trova nell'archivio principale, il computer non sarà in grado di completare la catena e si lamenterà (A) non è affidabile, quindi (B) viene aggiunto all'archivio intermedio, che non è attendibile, ma aggiunge il collegamento tra (A) e (C), rendendo attendibile (A) il motivo per cui è pericoloso fidarsi (B) automaticamente, è che (C) potrebbe essere revocato e qualsiasi certificato collegato deve essere revocato)

Tutti i certificati negli "emittenti di certificati intermedi" devono essere associati a un certificato all'interno dell'archivio radice attendibile per essere considerati attendibili.

Ma nella maggior parte degli archivi di certificati, dovrebbe essere possibile inserire manualmente un certificato nell'archivio principale anche se non è stato firmato da solo. A volte, è necessario selezionare una casella di controllo per installare manualmente il certificato, a volte è necessario vagare manualmente negli archivi e aggiungere il certificato utilizzando un pulsante

    
risposta data 14.05.2015 - 21:36
fonte

Leggi altre domande sui tag