Creé una CA raíz y una CA intermedia, luego usé el intermedio para firmar un certificado de hoja, con el propósito de habilitar SSL en varios servidores web en una red interna.
Estoy tratando de averiguar si necesito distribuir los certificados de CA raíz e intermedios en los almacenes de confianza de mis clientes, o si puedo arreglármelas con solo distribuir la raíz, como se explica en: Do pongo mi CA subordinada (intermedia) o raíz certificado en mi almacén de confianza?
Haciendo una prueba rápida con curl contra un punto final https con un certificado de hoja, firmado por el intermediario, parece que necesito la cadena completa, por ejemplo:
curl --cacert chain.crt https://my-endpoint:8080/
Cuando probé solo con la CA raíz, obtuve un error:
curl --cacert root.crt https://my-endpoint:8080/
curl: (60) SSL certificate problem: unable to get issuer certificate
¿Por qué debo proporcionar enrollar la cadena completa en lugar de solo la CA raíz? ¿Necesito crear certificados de hoja con una opción especial para incrustar la cadena completa?
Editar: otra respuesta que indica que solo debería necesitar la raíz: enlace
Edición 2: el servidor web con el que estoy probando es Vault : no estoy seguro de que sea relevante, pero tal vez haya algún problema. la forma en que el servidor presenta su certificado; Necesita servir a toda la cadena, ¿verdad? ¿Cómo verifico si está o no está sirviendo a toda la cadena?