Quale formato viene utilizzato per la distribuzione dei certificati firmati dalla CA reale

1

Sto lavorando su implementazione CA su rotaie (abbastanza grezzo), usando le ricette del libro di cucina OpenSSL di Ivan Ristić e ho inciampato

  1. Il richiedente (o sviluppatore o server) ha il mio certificato di origine CA
  2. Ha fatto richiesta CSR
  3. la mia CA lo canta con il certificato intermedio subca
  4. Come fornire un certificato al richiedente con tutta la catena che utilizzerà per la verifica? Come è fatto dalla vera CA? O dovrei anche fornire tutta la catena o il candidato deve derivare subca.crt url dall'estensione authorityInfoAccess e caricarlo da solo (che si trova in public dir)?
posta srghma 24.03.2017 - 12:31
fonte

1 risposta

1

CA diversa lo fa diversamente.

Una CA che ho utilizzato come file zip scaricabile contenente il certificato e il certificato intermedio in vari formati. Altri forniscono un certificato preconcolato e certificati intermedi come un singolo file PEM. Alcuni ti indirizzano a un'altra pagina dove puoi scaricare i certificati intermedi.

Personalmente, trovo che scaricarli come un unico zip scaricabile sia il modo più semplice e più conveniente per ricevere certificati.

Recentemente, alcune CA come Let's Encrypt forniscono anche l'emissione automatica. In questo modo, si installa uno script acme sul server, quindi tale script rileva automaticamente il server Web, gli ordini un certificato, configura automaticamente il tuo server web per eseguire la convalida del dominio, scarica il certificato firmato nel formato corretto per il tuo server specifico e installa automaticamente il certificato per te sul server web. Lo script può anche essere installato come cronjob che rinnova automaticamente il certificato quando è prossimo alla scadenza. Se stai solo configurando un certificato convalidato dal dominio, questo può essere il più conveniente per gli utenti, ma è anche il più difficile da implementare per le CA.

    
risposta data 24.03.2017 - 14:38
fonte

Leggi altre domande sui tag