Trabajo para una empresa de alojamiento y actualmente no ofrecemos servicios de firma de certificados, por lo que debemos aceptar certificados de terceros de clientes no técnicos. Estoy tratando de construir una herramienta para verificar que las claves, los certificados y los intermedios proporcionados son correctos y comprenden una cadena completa para un certificado raíz.
Mi solución actual es:
- Compruebe que el módulo de la clave privada coincide con el del certificado.
- Haga coincidir las ID de clave de sujeto en la cadena hasta que llegue a un certificado de raíz.
Sin embargo, me he topado con algunos certificados raíz antiguos que no tienen ID de clave, o campos de x509v3 en absoluto. ¿Cuál es la forma correcta de verificar la cadena sin usar las extensiones v3? Haga coincidir el emisor CN con el sujeto CN y luego ...?