¿Podría ayudarme a comprender si un servidor aceptará el certificado de un cliente como válido durante el desafío mutuo de TLS basado en el diagrama a continuación? El lado del cliente no sabe nada acerca de la CA B Intermedia del servidor, y viceversa, un lado del servidor no sabe nada acerca de la CA Intermedia del cliente. ¿La validación se realizará en el Nivel 1, si el Nivel 2 no tiene información sobre las CA Intermedias?
Cuando el cliente se conecta a través de SSL / TLS, el servidor presentará su certificado chain , es decir, presentará su propio certificado pero también puede ofrecer el certificado para CA B .
Si el servidor solo presenta su propio certificado, el cliente no puede validar el certificado y debe cerrar la conexión o detenerse para preguntar al usuario.
Si el servidor presenta ambos certificados (y el cliente confía en la CA raíz, y los certificados son válidos para los usos y el nombre del servidor), el cliente aceptará el certificado como de confianza.
En el caso de los certificados codificados PEM, la cadena de certificados se crea mediante la concatenación de los certificados:
cat CA_B.pem >>myserver.pem
Con pkcs12, su un poco más involucrado .
Lea otras preguntas en las etiquetas tls certificate-authority mutual