PKI: ¿Por qué la CA raíz está en la sección de CA intermedia?

Question

PKI: ¿Por qué la CA raíz está en la sección de CA intermedia?

#1 de sebastian nielsen (2 votos)

3

No puedo entender por qué, cuando acepto "instalar" una CA raíz firmada y personalizada en el navegador IE, el certificado raíz termina en la sección "CA intermedia", en lugar de en la sección "CA raíz" en la contenedor de certificados del navegador (y también en el administrador de certificados de Windows, ambos pueden ser iguales).

¿Es una estrategia de Microsoft, solo mostrar en la sección de CA raíz la lista de CA de confianza? ¿Y no permitir la inserción de una CA raíz "desconocida" en esta sección?

Cuando lo uso, no puedo ver ninguna diferencia, pero debe haber una explicación.

public-key-infrastructure web-browser certificates certificate-authority

pregunta crypto-learner 29.12.2014 - 17:12

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure web-browser certificates certificate-authority

Poner a cero los sectores vacíos en varios sistemas de archivos Linux Aspectos de diseño inusuales de la autenticación basada en AWS HMAC, v4

score 2 · Answer 1

Estos problemas a menudo surgen de parámetros de uso de certificados incorrectos. Obviamente, necesita tener CA: VERDADERO, pero los otros parámetros de uso clave también deben ser correctos. Si los parámetros de uso del certificado son incorrectos, es probable que Windows detecte automáticamente este certificado como un CA intermedio.

Si existe la menor falta de sinceridad entre el firmante y el sujeto del certificado (por lo que ya no es realmente "autofirmado" ortodoxo), se tomará como un certificado intermedio.

Puede instalar esto como un certificado Intermedio. Vaya luego a la ruta del certificado y verifique si Windows cree que este certificado está firmado por otra CA. Si Windows detecta incorrectamente el certificado como intermedio, debería ver un certificado superior que está presente con una X sobre su certificado porque Windows no conoce este certificado.

Si aún desea instalar esto como un certificado raíz real, puede anular manualmente la colocación del certificado desmarcando la casilla "Permitir que Windows elija una tienda adecuada para este certificado" y luego seleccionando manualmente "CA raíz".