¿No es esto una cadena de certificados rota?

0

Mi proveedor de certificados respondió a mi CSR con cuatro certificados, el primero es "nuestro" y los tres restantes, presumiblemente, para construir una cadena de confianza.

Nunca he tenido que investigar (y demostrarle a mi proveedor) una cadena de certificados a este nivel, por lo que estoy abierto a que me digan que no estoy viendo la información adecuada.

Mi certificado tiene

  

Emisor: C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network,   CN = CA de servidor seguro de validación de dominio RSER de USERTrust

con

  

Identificador de clave de autoridad X509v3:         keyid: A6: C1: E7: E1: F4: F6: 47: 63: D7: 2F: 7D: 8D: 90: F8: BA: 23: 4F: 60: AC: 9E

Lo que me enviaron para construir la cadena son:

  1.   

    Asunto: C = EE. UU., O = Register.com, CN = Register.com CA SSL Services (DV)

         

    Emisor: C = EE. UU., ST = UT, L = Salt Lake City, O = La red USERTRUST, OU = enlace , CN = UTN-USER Primer-Hardware

         

    Identificador de clave de asunto X509v3:   96: 36: 9B: F8: D6: E5: B3: 68: 4A: 70: 7A: 7A: 72: 8D: D3: 6E: 2C: 0B: B9: 31

         

    Identificador de clave de autoridad X509v3:          keyid: A1: 72: 5F: 26: 1B: 28: 98: 43: 95: 5D: 07: 37: D5: 85: 96: 9D: 4B: D2: C3: 45

  2.   

    Asunto: C = EE. UU., ST = UT, L = Salt Lake City, O = La red USERTRUST,   OU = enlace , CN = UTN-USERFirst-Hardware

         

    Emisor: C = SE, O = AddTrust AB, OU = AddTust External TTP Network, CN = AddTrust External CA Root

         

    Identificador de clave de asunto X509v3:          A1: 72: 5F: 26: 1B: 28: 98: 43: 95: 5D: 07: 37: D5: 85: 96: 9D: 4B: D2: C3: 45

         

    Identificador de clave de autoridad X509v3:          keyid: AD: BD: 98: 7A: 34: B4: 26: F7: FA: C4: 26: 54: EF: 03: BD: E0: 24: CB: 54: 1A

  3.   

    Asunto: C = SE, O = AddTrust AB, OU = AddTust External TTP Network,   CN = AddTrust External CA Root

         

    Emisor: C = SE, O = AddTrust AB, OU = AddTust External TTP Network, CN = AddTrust External CA Root

         

    Identificador de clave de asunto X509v3:          AD: BD: 98: 7A: 34: B4: 26: F7: FA: C4: 26: 54: EF: 03: BD: E0: 24: CB: 54: 1A

         

    Identificador de clave de autoridad X509v3:          keyid: AD: BD: 98: 7A: 34: B4: 26: F7: FA: C4: 26: 54: EF: 03: BD: E0: 24: CB: 54: 1A

Dado que el AKID en mi certificado no es un SKID en la cadena que proporcionaron, mi certificado no se autentica de inmediato ... ¿verdad?

    
pregunta tobinjim 27.10.2014 - 16:44
fuente

1 respuesta

5

Los identificadores clave son extensiones destinadas a ayudar con la creación de la ruta del certificado, pero no coincide implica un error de validación (al menos en lo que respecta a X.509 / RFC 5280, lo que hacen las implementaciones es otro asunto).

Sin embargo , el DN del sujeto / emisor debe coincidir en una cadena válida, y una falta de coincidencia implica un rechazo inmediato. Si tiene un certificado cuyo "DN de emisor" es "C = US, ST = New Jersey, ...", el certificado inmediatamente anterior en la cadena (el certificado para esa CA que emitió su certificado) debe tener ese nombre exacto en su "sujeto DN". Por lo que dice, ninguno de los certificados que le enviaron cumple con esta propiedad.

    
respondido por el Tom Leek 27.10.2014 - 17:04
fuente

Lea otras preguntas en las etiquetas