Non è una catena di certificati danneggiata?

0

Il mio fornitore di certificati ha risposto al mio CSR con quattro certificati, il primo è "nostro" e i restanti tre presumibilmente per costruire una catena di fiducia.

Non ho mai dovuto esaminare (e dimostrare al mio fornitore) una catena di certificati a questo livello, quindi sono aperto a sentirmi dire che non sto cercando le informazioni corrette.

Il mio certificato ha

Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Domain Validation Secure Server CA

con

X509v3 Authority Key Identifier: keyid:A6:C1:E7:E1:F4:F6:47:63:D7:2F:7D:8D:90:F8:BA:23:4F:60:AC:9E

Quello che mi hanno inviato per costruire la catena sono:

  1. Subject: C=US, O=Register.com, CN=Register.com CA SSL Services (DV)

    Issuer: C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware

    X509v3 Subject Key Identifier: 96:36:9B:F8:D6:E5:B3:68:4A:70:7A:7A:72:8D:D3:6E:2C:0B:B9:31

    X509v3 Authority Key Identifier: keyid:A1:72:5F:26:1B:28:98:43:95:5D:07:37:D5:85:96:9D:4B:D2:C3:45

  2. Subject: C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware

    Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root

    X509v3 Subject Key Identifier: A1:72:5F:26:1B:28:98:43:95:5D:07:37:D5:85:96:9D:4B:D2:C3:45

    X509v3 Authority Key Identifier: keyid:AD:BD:98:7A:34:B4:26:F7:FA:C4:26:54:EF:03:BD:E0:24:CB:54:1A

  3. Subject: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root

    Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root

    X509v3 Subject Key Identifier: AD:BD:98:7A:34:B4:26:F7:FA:C4:26:54:EF:03:BD:E0:24:CB:54:1A

    X509v3 Authority Key Identifier: keyid:AD:BD:98:7A:34:B4:26:F7:FA:C4:26:54:EF:03:BD:E0:24:CB:54:1A

Poiché l'AKID nel mio certificato non è uno SKID nella catena che hanno fornito, il mio certificato non riesce ad autenticarsi immediatamente ... giusto?

    
posta tobinjim 27.10.2014 - 16:44
fonte

1 risposta

5

Gli identificatori di chiave sono estensioni pensate per aiutare con la creazione di percorsi di certificati, ma una mancata corrispondenza non implica un errore di convalida (almeno per quanto riguarda X.509 / RFC 5280 - quali implementazioni fanno altro).

Tuttavia , l'oggetto / emittente DN deve corrispondere in una catena valida e una mancata corrispondenza implica un rifiuto immediato. Se si dispone di un certificato il cui "DN emittente" è "C = USA, ST = New Jersey, ...", il certificato immediatamente precedente nella catena (il certificato per quella CA che ha emesso il certificato) deve avere il nome esatto nel suo "subject DN". Da quello che dici, nessuno dei certificati che ti hanno inviato soddisfa questa proprietà.

    
risposta data 27.10.2014 - 17:04
fonte

Leggi altre domande sui tag