Fidati del reciproco TLS sulla catena di certificati nella configurazione della CA multi-intermedio

1

Potresti per favore aiutarmi a capire se il certificato di un cliente sarà accettato da un server come valido durante la reciproca sfida TLS basata sullo schema sottostante? Il lato client non sa nulla di Intermediate CA B del server e viceversa un lato server non sa nulla sulla CA intermedia del cliente A. La convalida avverrà al Livello 1, se le informazioni mancanti di Livello 2 sulle CA intermedie?

    
posta Viacheslav 15.06.2018 - 14:37
fonte

1 risposta

2

Quando il client si connette tramite SSL / TLS, il server presenterà il suo certificato catena , cioè presenterà il proprio certificato ma può anche offrire il certificato per CA B .

Se il server presenta solo il proprio certificato, il client non può convalidare il certificato e deve chiudere la connessione o fermarsi per chiedere all'utente.

Se il server presenta entrambi i certificati (e il client considera attendibile la CA radice ei certificati sono validi per gli usi e il nome del server) il client accetterà il certificato come attendibile.

Nel caso dei certificati codificati PEM, la catena di certificati viene creata concatenando i certificati:

cat CA_B.pem >>myserver.pem

Con pkcs12, il suo leggermente più coinvolto .

    
risposta data 15.06.2018 - 14:54
fonte

Leggi altre domande sui tag