Sto implementando una PKI per un ambiente di test e ho tutto appena configurato. L'architettura è costituita da una CA di origine, due di emissione (CA intermedie) e client. I certificati client e i certificati server sono implementati e richiesti per l'autenticazione. Tutto funziona alla grande, ma ho avuto alcune domande sull'integrazione di un terzo dispositivo.
Ho un firewall che cercherà un certificato client per autenticare gli utenti. I client hanno già caricato il certificato della CA radice nel loro trust store (ossia la CA radice che ha emesso la CA intermedia che ha rilasciato il certificato del cliente).
Affinché il firewall possa autenticare gli utenti, ritengo necessario aggiungere anche il certificato CA root al trust store del firewall in modo che quando un client presenta un certificato client, il firewall possa fidarsi che il client possieda un certificato che ha una catena di fiducia torna alla CA principale. Questo è dove sono un po 'confuso. Sono abbastanza sicuro di aggiungere il certificato CA radice al firewall, ma mi chiedo anche se è necessario aggiungere o meno il certificato della CA di emissione.
Da questo ho due domande:
Il firewall ha ricevuto un certificato firmato dalla CA intermedia e anche il client. Devo aggiungere il certificato della CA principale o il certificato della CA intermediaria al trust del firewall?
Ancora più importante, perché? Perché è stato aggiunto il certificato CA radice e non il certificato CA emittente? Io penso so perché, ma non conosco tutti i dettagli, se qualcuno potrebbe analizzare i dettagli e passare attraverso quale sia l'esatto processo attraverso il quale il firewall convalida il certificato del cliente.