¿El lugar donde coloco mis certificados PKI es importante?

1

Tengo un certificado PKI intermedio y uno raíz que veo que ya se importó en un almacén de certificados de computadoras (Windows Server 2003). Sin embargo, tanto los certificados intermedios como los certificados raíz se colocaron en la carpeta de certificados "Entidades de certificación de raíz de confianza".

Esteesobviamenteellugarapropiadoparaelcertificadoraízperonoelcertificadointermedio.Ademásdeestarenellugarequivocadoestéticamente,¿elhechodetenerelcertificadointermedioenlacarpeta"incorrecta" causará fallos o problemas técnicos? En otras palabras, ¿las ubicaciones de las carpetas son solo para la organización o afectan la funcionalidad de los certificados PKI?

    
pregunta n00b 13.08.2014 - 23:03
fuente

2 respuestas

3

Si coloca el certificado de CA intermedio en el almacén de "raíz confiable", entonces le está indicando a su máquina que realmente confíe en ese certificado ex nihilo . Lo has convertido en una raíz de confianza. Cuando, por ejemplo, su navegador web intenta validar un certificado emitido por esa CA "intermedia", lo aceptará con una cadena que comienza con esa CA, ignorando totalmente la CA raíz verdadera.

La consecuencia básica es que la CA intermedia ya no puede ser revocada: dado que su máquina confía en ese certificado debido a que está en el almacén de "raíces confiables", y no en virtud de que esté firmado por otro certificado confiable, entonces no tiene ninguna razón para descargar una CRL que lo cubra. Por definición, las raíces confiables no son revocadas; se instalan manualmente , y si ya no son confiables, entonces también se eliminan manualmente.

Por lo tanto, el emplazamiento importa. Los certificados en el almacén de "raíz confiable" están destinados a administrarse explícitamente, por lo que debe colocar solo los certificados de CA que desea administrar explícitamente. "Administración explícita" aquí significa "cuando ya no se debe confiar en el certificado, el administrador del sistema debe eliminar manualmente el certificado de la tienda".

    
respondido por el Tom Leek 14.08.2014 - 14:40
fuente
0

No estoy de acuerdo con la respuesta anterior de Tom, tal vez el comportamiento podría depender de los diferentes productos donde esté alojado. Yo había hecho lo mismo en IIS 6 hace muchos años; He tenido DOS certificados de CA intermedios (primario y secundario) y un certificado de CA raíz. Los coloqué todos en la tienda raíz de CA. Durante la autenticación del certificado, el comportamiento fue que el sistema evaluara primero el certificado intermedio secundario, luego el certificado intermedio primario y luego el certificado raíz. La presencia de los certificados primarios y ROOT era importante y la ubicación no hacía ninguna diferencia. Sin embargo, sí moví los intermedios a la ubicación correcta.

Por lo tanto, el emplazamiento no importa en este escenario, sin embargo, no estoy seguro de que el comportamiento pueda variar entre los diferentes productos.

Puedes verificar cuál es correcto al eliminar el certificado raíz de la lista y ver si la autenticación de tu certificado es correcta.

    
respondido por el dozer 14.08.2014 - 16:01
fuente

Lea otras preguntas en las etiquetas