Root CA o CA intermedio nel trust store del firewall

0

Sto implementando una PKI per un ambiente di test e ho tutto appena configurato. L'architettura è costituita da una CA di origine, due di emissione (CA intermedie) e client. I certificati client e i certificati server sono implementati e richiesti per l'autenticazione. Tutto funziona alla grande, ma ho avuto alcune domande sull'integrazione di un terzo dispositivo.

Ho un firewall che cercherà un certificato client per autenticare gli utenti. I client hanno già caricato il certificato della CA radice nel loro trust store (ossia la CA radice che ha emesso la CA intermedia che ha rilasciato il certificato del cliente).

Affinché il firewall possa autenticare gli utenti, ritengo necessario aggiungere anche il certificato CA root al trust store del firewall in modo che quando un client presenta un certificato client, il firewall possa fidarsi che il client possieda un certificato che ha una catena di fiducia torna alla CA principale. Questo è dove sono un po 'confuso. Sono abbastanza sicuro di aggiungere il certificato CA radice al firewall, ma mi chiedo anche se è necessario aggiungere o meno il certificato della CA di emissione.

Da questo ho due domande:

Il firewall ha ricevuto un certificato firmato dalla CA intermedia e anche il client. Devo aggiungere il certificato della CA principale o il certificato della CA intermediaria al trust del firewall?

Ancora più importante, perché? Perché è stato aggiunto il certificato CA radice e non il certificato CA emittente? Io penso so perché, ma non conosco tutti i dettagli, se qualcuno potrebbe analizzare i dettagli e passare attraverso quale sia l'esatto processo attraverso il quale il firewall convalida il certificato del cliente.

    
posta bm07 24.08.2018 - 15:36
fonte

1 risposta

1

Non fornirò una spiegazione completa su come funziona la convalida dei certificati poiché ci sono già un certo numero di ottime risposte su questo sito se si cerca " come funziona la convalida dei certificati ".

Le tue domande:

The firewall received a signed certificate from the Intermediate CA and the client did as well. Do I need to add the Root CA certificate or the Intermediate CA certificate to the firewall trust store?

L'unica vera risposta è "Dipende da come funziona il tuo firewall, il manuale dovrebbe dirti". Di solito ti fidi di una CA radice.

More importantly, why? Why is the Root CA certificate added and not the Issuing CA certificate? I think I know why but if someone could break down the details and go through what the exact process the firewall would go through to validate the client certificate.

Per il processo esatto, guarda le altre eccellenti risposte su questo sito.

Per un'intuizione, chiedi a te stesso perché hai impostato una CA radice e una CA intermedia in primo luogo? Perché non hai appena creato una radice e non hai emesso la segnalazione dei tuoi clienti? Di solito la risposta è che si desidera la possibilità di revocare la CA intermedia se viene compromessa. Se dite ai vostri programmi di fidarsi in modo esplicito della CA intermedia, anche se la revocate alla radice, il software continuerà a fidarsi di esso, perché lo avete detto. Potresti anche incorrere in problemi tecnici, poiché molti motori di convalida del cert non sono soddisfatti se la catena di certificati non termina con un certificato autofirmato.

    
risposta data 24.08.2018 - 15:54
fonte