Own RootCA e SubCA - Distribuisci catena in / etc / ssl / certs o solo RooCA cert? (Ubuntu)

0

Abbiamo creato un rootca e creato una subca per firmare i certificati. Cosa dovrebbe essere distribuito in / usr / local / share / ca-certificates / per aggiornare gli archivi di fiducia della CA? La catena di certificati o solo il certificato RootCA? La maggior parte dei file di configurazione ha una direttiva separata che punta alla catena di certificati, quindi sembra che la best practice sia che solo il cert rootca deve essere considerato affidabile?

La forma generica di questa domanda è se il RootCA deve essere considerato attendibile o il cert intermedio.

grazie

    
posta mxc 21.10.2017 - 09:25
fonte

1 risposta

1

La convalida del percorso deve terminare con un certificato radice autofirmato, il che significa che non è sufficiente fidarsi solo del certificato intermedio, vale a dire fidarsi della CA radice in ogni caso.

Se è inoltre necessario aggiungere la CA intermedia come attendibile dipende dalla configurazione dei sistemi: Solitamente i peer TLS forniscono non solo il certificato foglia ma anche i certificati di catena necessari per verificare il certificato foglia contro la CA radice. In questo caso non è necessario aggiungere esplicitamente la CA intermedia come attendibile poiché viene fornita durante l'handshake TLS. Solo in configurazioni rotte in cui questa CA secondaria non viene fornita nell'handshake TLS, è necessario conoscere altrimenti, ovvero aggiunta all'elenco di certificati attendibili.

    
risposta data 21.10.2017 - 09:49
fonte

Leggi altre domande sui tag