Catena di certificati con comunicazione CA intermedia

0

Sono davvero nuovo nella sicurezza e molto più confuso con i concetti in corso, per quanto riguarda la CA. Supponiamo che in un sistema esista quanto segue:

         TA
          |
       CA_MID
     /        \
  CA_INT1   CA_INT2
    /|\        /|\
END_ENTn1   END_ENTn2

La CA più in alto è l'ancora di fiducia. CA_MID è una CA intermedia che rilascia solo certificati ad altre CA. CA_INT1 e CA_INT2 sono CA che rilasciano certificati a end entity, laptop (CA_INT1) e desktop (CA_INT2). Supponiamo di avere un laptop (END_ENTn1) che ha importato la catena TA, CA_MID, CA_INT1.

1a domanda: per comunicare con un desktop, dovrei anche importare CA_INT2 sul mio laptop Trust Store?

Seconda domanda: Esiste un'opzione che il desktop includerà nel suo certificato per intero (TA, CA_MID, CA_INT2) in modo che un laptop possa verificare che entrambi appartengano allo stesso ancoraggio di fiducia quindi non devo importare CA_INT2 all'archivio laptop?

Terza domanda: è possibile avere comunicazioni tra laptop e desktop quando il laptop ha importato tutte le CA (TA, CA_MID, CA_INT1, CA_INT2) e il desktop ha solo la catena (TA, CA_MID e CA_INT2) importate? In questo caso, credo che la comunicazione possa essere solo un modo, ho ragione?

Grazie mille.

    
posta JamieNotF 17.10.2017 - 20:53
fonte

1 risposta

0

1st question: In order to communicate with a desktop, should I also import the CA_INT2 to my laptops Trust Store?

non su Trust Store, ma su un negozio in cui il motore di concatenazione dei certificati cercherà i certificati intermedi mancanti. Si suppone che Trust Store archivi ancore di trust (che di solito sono certificati autofirmati. Nel tuo caso è TA). Questo passaggio potrebbe non essere necessario se CA_INT2 fornisce informazioni sulla propria posizione del certificato in estensione Authority Information Acess (AIA). In questo caso, il laptop sarà in grado di recuperare il certificato CA_INT2 dal certificato del desktop presentato. È buona norma includere l'estensione AIA in tutti i certificati per semplificare l'ottenimento dei certificati CA mancanti intermedi.

2nd question: Is there an option that desktop will include in his certificate whole it's chain (TA, CA_MID, CA_INT2) so that a laptop can verify that they both belong to the same trust anchor so I don't have to import CA_INT2 to the laptops store?

come indicato nella prima risposta, il certificato CA intermedio può essere ottenuto dinamicamente. Tuttavia, riguardo a questa domanda: dipende. A seconda del protocollo di comunicazione, il server può inviare l'intera catena (tranne il certificato di root) o il certificato di foglia solo e non è possibile modificare questo comportamento. Ad esempio, quando si utilizza HTTP su SSL / TLS, leaf e tutti i certificati intermedi vengono inviati al client. Quando si utilizza RDP su SSL / TLS o si utilizza VPN SSTP, al client viene inviato solo il certificato foglia.

3rd question: Is it possible to have communication between laptop and desktop when laptop has imported all the CAs (TA, CA_MID, CA_INT1, CA_INT2) and the desktop has only it's chain (TA, CA_MID and CA_INT2) imported? In this case I believe the communication can be only one way, am I right?

di nuovo, se i certificati intermedi possono essere ottenuti dinamicamente (tramite estensione AIA, protocollo sottostante o altri mezzi disponibili), allora tutto andrà bene.

    
risposta data 17.10.2017 - 22:01
fonte

Leggi altre domande sui tag