Potresti per favore aiutarmi a capire se il certificato di un cliente sarà accettato da un server come valido durante la reciproca sfida TLS basata sullo schema sottostante? Il lato client non sa nulla di Intermediate CA B del server e viceversa un lato server non sa nulla sulla CA intermedia del cliente A. La convalida avverrà al Livello 1, se le informazioni mancanti di Livello 2 sulle CA intermedie?
Quando il client si connette tramite SSL / TLS, il server presenterà il suo certificato catena , cioè presenterà il proprio certificato ma può anche offrire il certificato per CA B .
Se il server presenta solo il proprio certificato, il client non può convalidare il certificato e deve chiudere la connessione o fermarsi per chiedere all'utente.
Se il server presenta entrambi i certificati (e il client considera attendibile la CA radice ei certificati sono validi per gli usi e il nome del server) il client accetterà il certificato come attendibile.
Nel caso dei certificati codificati PEM, la catena di certificati viene creata concatenando i certificati:
cat CA_B.pem >>myserver.pem
Con pkcs12, il suo leggermente più coinvolto .
Leggi altre domande sui tag tls certificate-authority mutual