Autorità di certificazione locale e catena di certificati

0

So che posso creare un'autorità di certificazione locale per una rete locale. Posso emettere certificati per tutti i dispositivi nella mia rete e, finché si fidano di me, possono usare tali certificati per autenticarsi a vicenda. I dispositivi esterni, invece, non si fidano di me e quindi non possono accettare i certificati forniti dai miei dispositivi interni.

La mia domanda è

Se la mia autorità di certificazione locale dovesse ricevere un certificato rilasciato da una CA accreditata a livello internazionale, i dispositivi esterni sarebbero in grado di ricostruire la catena di certificati e quindi, alla fine, accettare i certificati che ho emesso come validi?

    
posta ssnape 22.03.2016 - 14:42
fonte

2 risposte

1

If my local certification authority would be provided with a certificate issued by an internationally trusted CA, external devices would be able to reconstruct the certificate chain and so, in the end, accept the certificates I issued as valid?

Sì. Questo ti trasformerebbe in una CA intermedia ( a condizione che siano stati impostati gli utilizzi chiave richiesti ), che in genere dovrebbero essere fidati di tutte le responsabilità che derivano da tale compito.

Tieni presente che in pratica ti trasformi in una CA (quasi) con tutte le funzionalità e tu davvero non lo voglio . Oltre a questo, ci sono aziende che ti vendono il tuo PKI (presumibilmente per l'installazione automatica del server).

    
risposta data 22.03.2016 - 16:04
fonte
0

Sì, se una CA accreditata a livello internazionale emettesse un certificato per la CA locale, tutti si sarebbero fidati di ogni certificato emesso dalla CA locale. È quindi possibile emettere un certificato per qualsiasi sito Web nel mondo - Google, bancario, websited, qualunque cosa - e avere tutto il mondo si fida del certificato. Ecco perché nessuna CA accreditata a livello internazionale fornirà alla CA locale un certificato che gli consenta di firmare ulteriori certificati.

    
risposta data 22.03.2016 - 15:57
fonte

Leggi altre domande sui tag