Lavoro per una società di hosting e al momento non offriamo servizi di firma dei certificati, quindi dobbiamo accettare certificati di terze parti da clienti non tecnici. Sto provando a creare uno strumento per verificare che le chiavi, i certificati e i prodotti intermedi forniti siano corretti e comprendano una catena completa per tornare a un certificato di base.
La mia soluzione corrente è:
- Verifica che il modulo della chiave privata corrisponda a quello del certificato.
- Abbina gli ID chiave soggetto sulla catena fino a quando non tocchi un Certficato di root.
Tuttavia, mi sono imbattuto in alcuni antichi certificati radice che non hanno ID chiave, o campi x509v3. Qual è il modo corretto per controllare la catena senza utilizzare le estensioni v3? Abbinare CN dell'emittente con l'oggetto CN e poi ...?