Con respecto al almacenamiento del certificado de CA raíz y cualquier certificado de CA raíz intermedia en el dispositivo incorporado

1

La configuración general del sistema es como se explica

  1. SERVIDOR que se conecta con el cliente (dispositivo incorporado) en SSL / TLS
  2. Dispositivo integrado que actúa como CLIENTE y se comunica con el servidor

También se puede acceder al servidor mediante navegadores web (Mozilla, Chrome, etc.).

A través del navegador web descargamos / extraemos los certificados CA raíz que se almacenaron en los navegadores web (Clientes). Se compone de 2 Root CA,

1. Raíz CA

Este es el certificado autofirmado por CA

2. CA de validación de dominio intermedio CA

Este certificado está firmado por Root CA

Este certificado se utiliza para firmar el certificado del servidor

Necesitábamos una (s) entidad (es) raíz (s) en el dispositivo integrado para que se pueda utilizar para autenticar el servidor durante el protocolo SSL / TLS.

Entonces, para nuestro dispositivo integrado, si necesitamos poner los certificados de CA raíz, según nuestro conocimiento, deberíamos poder usar los mismos certificados que se puede incrustar en el firmware.

Pregunta: ¿necesitamos almacenar los certificados (CA raíz e Intermedia) en el dispositivo integrado o cualquiera de ellos es suficiente? Si solo uno, ¿cuál debería ser almacenado?

    
pregunta ssk 28.01.2015 - 19:38
fuente

1 respuesta

1

El cliente solo debe conocer (y confiar) a la Root-CA. Todo lo demás se puede encadenar a pedido.

Se le puede indicar a su servidor que envíe el certificado intermedio junto con el certificado del servidor. Este proceso se denomina "encadenamiento de certificados" y, a menudo, se implementa concatenando ambos certificados en un único archivo de certificado; versiones anteriores de, por ejemplo, Apache Webserver requería una declaración específica ( SSLCertificateChainFile ).

Un cliente que recibe esta cadena de certificados sigue el certificado del servidor a través de su CA emisora hasta que llega a una CA Raíz de confianza del cliente; Si no llega a una Root-CA de confianza del cliente, el certificado se considerará como "no confiable" y, dependiendo de la aplicación cliente real, la aplicación rechazará enviar datos a través de esa conexión (encriptada, pero no autenticada).

También tenga en cuenta que las CA raíz tienen una fecha de caducidad, por lo que (dependiendo de la vida útil estimada del dispositivo y la CA raíz) es posible que deba actualizar o intercambiar certificados de CA raíz en su dispositivo cliente incorporado también.

    
respondido por el knoepfchendruecker 20.04.2015 - 16:00
fuente

Lea otras preguntas en las etiquetas