¿Cómo funciona la verificación de la cadena de confianza para la autenticación basada en certificados en el lado del servidor?

2

Ahora mismo necesito importar el certificado de Root-CA, el certificado de Intermediate-CA y el certificado de Cliente en el cliente para que pueda conectarse al servidor. El servidor tiene acceso al certificado de Root-CA a través de la directiva SSLCACertificateFile.

Supongo que en este momento el servidor no puede verificar la Intermediate-CA porque no tiene acceso a su certificado. Así que consulta al cliente. ¿Es eso correcto?

Si es así: ¿Cómo puedo darle al servidor la capacidad de verificar la cadena de confianza por sí mismo? ¿Tal vez una URL en el certificado de firmantes? Agregar más de una directiva SSLCACertificateFile no funcionó.

    
pregunta CCK1979 05.05.2018 - 19:42
fuente

1 respuesta

3

Proporcionar la cadena completa (es decir, todos los certificados intermedios pero no el certificado raíz) es realmente la forma normal de intercambiar certificados, ya que se espera que la otra parte solo tenga el certificado raíz de confianza. Esto es cierto para los certificados de cliente y servidor.

Aún así, debería ser posible proporcionar certificados de cadena que el cliente no envíe dentro del mismo archivo de CA donde el servidor tiene las CA de confianza utilizadas para la autenticación del cliente. Tenga en cuenta que con SSLCACertificateFile usted especifica un archivo que puede contener varios certificados (simplemente concatenados) y no solo uno.

    
respondido por el Steffen Ullrich 05.05.2018 - 20:20
fuente

Lea otras preguntas en las etiquetas