Archiviazione su CA radice e certificato CA intermedio su dispositivo incorporato

Question

Archiviazione su CA radice e certificato CA intermedio su dispositivo incorporato

#1 da (1 voti)
#2 da (0 voti)

0

Riguardo alla memorizzazione dei certificati CA root su un dispositivo incorporato

Spiegazione sull'installazione: 1. Un dispositivo incorporato che è un CLIENT sulla rete 2. Esiste un SERVER che si connette al CLIENT su SSL / TLS

Inoltre, possiamo accedere al server da qualsiasi browser web . Abbiamo estratto i seguenti certificati dal browser web quando ci siamo collegati a SERVER.

I certificati sono

1. CA principale 2. Intermedia ** CA Domain validation CA. **

Si vede che nel browser è memorizzato come una catena di certificati.

Ora la query è necessaria per memorizzare entrambi i certificati sui nostri dispositivi incorporati o uno è sufficiente. Se solo uno, dovrebbe essere una CA radice o certificati di convalida del dominio intermedi.

Gentilmente bisogno di input al più presto.

Grazie in anticipo.

Saluti,

SSK

certificates

posta ssk 28.01.2015 - 12:57

fonte

2 risposte

Leggi altre domande sui tag certificates

SSH che ruba i file dal client? JKS è leggibile senza fornire una password

score 1 · Answer 1

Dispositivo incorporato o no, l'unico requisito è che devi essere in grado di seguire la catena di certificazione fino a qualcosa di cui ti fidi. Quindi, se il tuo server sta effettivamente distribuendo l'intera catena (come sembra implicarlo), dovrai solo memorizzare la CA principale nel dispositivo incorporato.

score 0 · Answer 2

Può essere uno dei due. La memorizzazione della radice è più normale, in quanto è generalmente valida per un periodo più lungo. Le chiavi private CA sono generalmente più esposte, quindi è più probabile che debbano essere revocate per qualche motivo.

Se si archivia la root, sono necessari criteri di convalida sufficienti per assicurarsi di accettare solo i certificati nel percorso del certificato corretto. Se esiste un'altra CA intermedia, è possibile che non si desideri accettare i certificati emessi da tale CA.

In generale non è sufficiente verificare solo i certificati su una radice affidabile per fidarsi del certificato foglia. È inoltre necessario eseguire la convalida del nome DNS, il periodo di validità, lo stato di revoca ecc.