Ho letto molti articoli su Mutuo SSL, Autenticazione a due vie o Autenticazione client e ho una richiesta generale a cui è stata data una risposta nel contenuto che ho letto, ma se lo è, non ho capito esso.
La mia comprensione di un'autorità di certificazione pubblica è che si occupano di verificare che un'entità esterna sia chi affermano di essere. In questo caso, "Entità A" richiede un certificato pubblico che contiene sia l'autenticazione del client che l'utilizzo della chiave di autenticazione del server. Consente di utilizzare "CA pubblica 01" come CA fittizia per la firma delle CSR dell'autenticazione client.
Poi ho un servizio Web con un certificato emesso da "CA pubblica 01" (Verifica che il provider di servizi Web e il server su cui è installato il certificato siano effettivamente di proprietà dell'organizzazione che ha richiesto il certificato).
Se ad esempio "Entity C", genera la propria chiave privata, genera un CSR con l'utilizzo della chiave ClientAuth e ha il CSR firmato da "CA pubblica 01" (ad esempio, ad esempio lo stesso intermedio di "Entità A"), e Spero che "Root CA pubblico, CA1 o intermedio in entrambi i file" utilizzato per la convalida dell'autenticazione client, non sia possibile per le Entità A o C presentare i certificati di autenticazione client emessi al servizio Web e una corretta Connessione SSL si verificherebbe?
Il motivo principale per chiedere questo è duplice;
-
La società di servizi Web non desidera utilizzare la CA privata che sarebbe stata l'ideale e garantire che la società di servizi Web potesse controllare / assicurare che l'entità richiedente sia chi dice di essere prima dell'emissione di certificati. (Componente di autenticazione client)
-
La società di servizi Web utilizza la CA pubblica standard per l'autenticazione del server (client standard di magazzino che verifica l'autenticità del servizio Web - il 99% dei browser si fiderebbe della CA che ha emesso il certificato).
Qualcuno può confermare che se si utilizza una CA pubblica per l'Autenticazione client, è imperativo che almeno un certo livello di lista bianca venga gestito dal servizio se si desidera limitare l'accesso a livello SSL, consentendo il sollevamento di IP elenco bianco sul firewall perimetrale verso entità selettive?
Grazie in anticipo, scusa se è già stato chiesto o se esiste un articolo simile che spiega questo specifico scenario.