Riguardo all'archiviazione del certificato CA root e di qualsiasi certificato CA radice intermedio su dispositivo incorporato

1

L'impostazione generale del sistema è come spiegato

  1. SERVER che si collega al client (dispositivo incorporato) su SSL / TLS
  2. Dispositivo incorporato che funge da CLIENT e comunica con il server

È anche possibile accedere al server usando i browser web (mozilla, chrome ecc.)

Attraverso il browser abbiamo scaricato / estratto i certificati CA radice che sono stati memorizzati nei browser Web (client). Consiste di 2 CA principali,

1. CA principale

Questo è il certificato autofirmato di CA

2. CA di convalida del dominio CA intermedio

Questo certificato è firmato da CA principale

Questo certificato viene utilizzato per firmare il certificato del server

Avevamo bisogno di root CA (s) sul dispositivo incorporato in modo che possa essere utilizzato per autenticare il server durante l'handshake SSL / TLS.

Quindi, per il nostro dispositivo integrato, se abbiamo bisogno di mettere i certificati della CA radice, secondo le nostre conoscenze dovremmo essere in grado di utilizzare gli stessi certificati che può essere incorporato nel firmware.

Domanda: è necessario memorizzare sia i certificati (Root e Intermediate CA) sul dispositivo incorporato che uno di essi è sufficiente? Se solo uno, quale dovrebbe essere memorizzato?

    
posta ssk 28.01.2015 - 19:38
fonte

1 risposta

1

Solo la Root-CA deve essere conosciuta (e fidata) dal client. Tutto il resto può essere incatenato su richiesta.

Al tuo server può essere richiesto di inviare il certificato intermedio insieme al certificato del server. Questo processo è chiamato "concatenamento di certificati" e spesso implementato concatenando entrambi i certificati in un singolo file di certificato; versioni precedenti di ad es. Apache Webserver richiede una specifica istruzione ( SSLCertificateChainFile ).

Un client che riceve questa catena di certificati segue il certificato del server tramite la sua CA di emissione fino a quando raggiunge una CA di origine attendibile dal client; se non raggiunge una CA-Root attendibile dal client, il certificato verrà considerato "non attendibile" e, a seconda dell'applicazione client effettiva, l'applicazione rifiuterà di inviare dati tramite tale connessione (crittografata, ma non autenticata).

Si tenga inoltre presente che le CA principali hanno una data di scadenza, quindi (a seconda della durata stimata del dispositivo e della CA principale) potrebbe essere necessario aggiornare o scambiare i certificati CA root sul dispositivo client incorporato.

    
risposta data 20.04.2015 - 16:00
fonte

Leggi altre domande sui tag