In un PKI a 3 livelli (o più), è ammesso che un vincolo di nome sia definito solo sul livello intermedio?

0

Sto lavorando con una CA di emissione che non supporta i vincoli di nome definiti ad un livello superiore.

Supponendo che rilasci certificati conformi ai vincoli di nome definiti, si tratterebbe di un problema con i client che convalidano la catena?

    
posta random65537 20.02.2014 - 15:03
fonte

1 risposta

1

Non garantirei che tutti lo facciano correttamente, ma l'intera catena di certificati fino a una radice attendibile dovrebbe essere convalidata per essere valida per il nome del certificato. Finché gli unici certificati generati sono validi, dovrebbe essere ok, ma se una CA intermedia firma qualcosa che non è autorizzato a firmare, la convalida dovrebbe fallire poiché la CA intermedia non è considerata attendibile per eseguire tale firma.

    
risposta data 20.02.2014 - 15:37
fonte