La posizione in cui metto i miei certificati PKI è importante?

1

Ho un certificato PKI intermedio e root che vedo già importato in un archivio di certificati di computer (Windows Server 2003). Tuttavia, sia i certificati intermedi che quelli radice sono stati collocati nella cartella dei certificati 'Autorità di certificazione radice attendibili'.

Ovviamenteèilpostoappropriatoperilcertificatodirootmanonilcertificatointermedio.Aparteilfattoditrovarsinelpostosbagliatoesteticamente,ilcertificatointermedionellacartella"errata" causerà guasti o problemi tecnici? In altre parole, le posizioni delle cartelle sono solo per l'organizzazione o influiscono sulla funzionalità dei certificati PKI?

    
posta n00b 13.08.2014 - 23:03
fonte

2 risposte

3

Se inserisci il certificato CA intermedio nell'archivio "trusted root", allora stai istruendo la tua macchina in modo che si fidi di quel certificato ex nihilo . L'hai trasformato in una radice affidabile. Quando, ad esempio, il tuo browser cerca di convalidare un certificato emesso da quella CA "intermedia", lo accetterà con una catena che inizia con quella CA, ignorando totalmente la vera CA di origine.

La conseguenza fondamentale è che la CA intermedia non può più essere revocata: poiché la macchina si fida di tale certificato in virtù del fatto che si trova nell'archivio "trusted root" e non in virtù del fatto che è firmato da un altro certificato attendibile, quindi non ha alcun motivo per scaricare un CRL che lo copra. Per definizione, le radici affidabili non vengono revocate; vengono installati manualmente e, se non sono più attendibili, vengono rimossi manualmente.

Quindi, la collocazione è importante. I certificati nell'archivio "trusted root" devono essere gestiti esplicitamente, quindi è necessario inserire solo i certificati CA che si intende gestire in modo esplicito. "Gestione esplicita" qui significa "quando il certificato non deve più essere considerato attendibile, il sysadmin deve rimuovere manualmente il certificato dall'archivio".

    
risposta data 14.08.2014 - 14:40
fonte
0

Non sono d'accordo con la risposta di cui sopra da parte di Tom - forse il comportamento potrebbe dipendere da diversi prodotti in cui è ospitato. Ho fatto lo stesso in IIS 6 molti anni fa; Ho avuto DUE certificati CA intermedi (primario e secondario) e un certificato CA radice. Li ho posizionati tutti nell'archivio principale di CA. Durante l'autenticazione del certificato, il comportamento era che il sistema prima valutasse il certificato intermedio secondario, quindi il certificato intermedio primario e quindi il certificato di Root. La presenza dei certificati principale e ROOT era importante e la posizione non ha fatto alcuna differenza. Ho spostato gli intermedi nella posizione corretta però.

Pertanto, l'emplacement non ha importanza in questo scenario, tuttavia non sono sicuro che il comportamento possa variare tra diversi prodotti.

È possibile verificare quale è corretto eliminando il certificato di root dall'elenco e verificare se l'autenticazione del certificato ha esito positivo.

    
risposta data 14.08.2014 - 16:01
fonte

Leggi altre domande sui tag