Crea certificati client utilizzando un certificato firmato

1

Abbiamo un certificato server firmato e una CA intermedia da un'autorità di certificazione attendibile.

È vero che non possiamo usare questo certificato (quindi la CA intermedia) per creare i nostri certificati client?

Come ho letto qui: link

"which is why they will not give you sub-CA power for free"

Quindi un'autorità di certificazione non mi permetterà semplicemente di fare questo?

Questo significa che l'unico modo per creare certificati client è creare la mia CA.

Per favore correggimi se faccio un errore fondamentale qui ...

    
posta Wilt 06.03.2017 - 17:50
fonte

2 risposte

6

La CA ti ha rilasciato un certificato CA intermedio se:

  • ti hanno fornito un certificato con l'estensione CA impostata su TRUE (con o senza profondità)
  • ti hanno fornito un certificato con estensioni keyUsage appropriate, ovvero keyCertSign e cRLSign (vedi link )
  • controlli / possiedi la chiave privata che corrisponde all'oggettoPublicKey del certificato

Se questo è il caso, a meno che non abbiano introdotto altre restrizioni (come NameConstraints - vedi link e link ), dovresti essere in grado di utilizzare la CA intermedia per emettere certificati client se lo desideri. Potrebbero esserci ragioni politiche / contrattuali per le quali questo potrebbe non essere vero.

Sospetto che un tale certificato sarebbe costoso, ma non ho riferimenti a cui possa puntare.

Detto questo, va notato che per i certificati client, non esiste alcun requisito fondamentale per la CA che emette certificati client per corrispondere alla CA che rilascia i certificati server. È interamente possibile utilizzare una CA interna per i certificati client e una esterna per es. i tuoi server web di fronte pubblico.

    
risposta data 06.03.2017 - 18:05
fonte
2

Un certificato attendibile è firmato dalla chiave privata di una CA. Ciò che lo rende una CA è che

a) ha marcature speciali che indicano che è una CA (beh, sorta di), e
b) la sua chiave pubblica è memorizzata nel tuo negozio di fiducia il tuo computer si fida di esso e sono i bambini.

Il certificato che hai è inteso per uno scopo specifico, e ha i propri contrassegni speciali che denotano per cosa è usato. I certificati client hanno anche i propri contrassegni, ecc.

Ora puoi usare la tua chiave privata per firmare altri certificati in senso tecnico, ma nessuno si fiderà di loro perché il tuo certificato non ha i contrassegni speciali che denotano che è autorizzato a farlo.

Quindi sì, hai bisogno della tua CA per usare i certificati client nel modo in cui vuoi usarli. Detto questo, ogni servizio che deve verificare uno di questi certificati richiederebbe una copia della chiave pubblica della CA nel proprio archivio di fiducia. Ovviamente, se ha avuto il potere di firmare tali certificati ritenuti affidabili, avresti un'immensa quantità di energia a tua disposizione perché potresti creare certificati affidabili per servizi che non sono giustamente tuoi.

    
risposta data 06.03.2017 - 18:04
fonte

Leggi altre domande sui tag