Il client e il server riescono a stringere la mano usando certificati emessi da CA diverse?

0

Il certificato client è emesso da CA uno, il certificato del server è emesso dalla CA due, CA CA e CA due sono CA radice. Client e server possono autenticarsi a vicenda in tls?

    
posta 43h 23.07.2017 - 17:59
fonte

1 risposta

2

Non c'è nulla nel protocollo TLS che lo vieti.

Per il bilanciamento del carico di cui ho esperienza, Citrix NetScaler, si configura manualmente quale CA deve accettare per i certificati client.

Quindi potresti avere un certificato per il server che è stato acquistato da una normale CA pubblica e potresti configurare il certificato client accettato da una specifica CA interna che esegui tu stesso.

In questo modo puoi rilasciare i certificati del cliente da solo e infonderli con i campi di dati che ti interessano. Come ad es. il nome utente o l'indirizzo e-mail di Windows del client o qualcosa di simile a una bandiera "è membro del dipartimento contabilità".

Il server non ha modo di comunicare "è un bel certificato che mi hai appena mostrato, sfortunatamente non è dalla CA che stavo cercando". Invece il server deve solo abortire l'handshake - lasciando che il cliente indovina perché questo non ha funzionato. (Penso che sia come funziona almeno.)

(C'è un'estensione TLS per l'altra direzione: consente al client di dire al server "Okay, conosco solo queste tre CA: x, y e z. È meglio che un certificato del server sia firmato da uno di essi. "Si chiama" Indicazione CA affidabile "Vedi: link - Ma penso che funzioni solo per i clienti comunicare ai server le CA di fiducia e non viceversa. Non sicuro.

    
risposta data 23.07.2017 - 18:27
fonte

Leggi altre domande sui tag