¿No es esto una cadena de certificados rota?

Question

¿No es esto una cadena de certificados rota?

#1 de Tom Leek (5 votos)

0

Mi proveedor de certificados respondió a mi CSR con cuatro certificados, el primero es "nuestro" y los tres restantes, presumiblemente, para construir una cadena de confianza.

Nunca he tenido que investigar (y demostrarle a mi proveedor) una cadena de certificados a este nivel, por lo que estoy abierto a que me digan que no estoy viendo la información adecuada.

Mi certificado tiene

Emisor: C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = CA de servidor seguro de validación de dominio RSER de USERTrust

con

Identificador de clave de autoridad X509v3: keyid: A6: C1: E7: E1: F4: F6: 47: 63: D7: 2F: 7D: 8D: 90: F8: BA: 23: 4F: 60: AC: 9E

Lo que me enviaron para construir la cadena son:

Asunto: C = EE. UU., O = Register.com, CN = Register.com CA SSL Services (DV)

Emisor: C = EE. UU., ST = UT, L = Salt Lake City, O = La red USERTRUST, OU = enlace , CN = UTN-USER Primer-Hardware

Identificador de clave de asunto X509v3:   96: 36: 9B: F8: D6: E5: B3: 68: 4A: 70: 7A: 7A: 72: 8D: D3: 6E: 2C: 0B: B9: 31

Identificador de clave de autoridad X509v3:          keyid: A1: 72: 5F: 26: 1B: 28: 98: 43: 95: 5D: 07: 37: D5: 85: 96: 9D: 4B: D2: C3: 45
Asunto: C = EE. UU., ST = UT, L = Salt Lake City, O = La red USERTRUST,   OU = enlace , CN = UTN-USERFirst-Hardware

Emisor: C = SE, O = AddTrust AB, OU = AddTust External TTP Network, CN = AddTrust External CA Root

Identificador de clave de asunto X509v3:          A1: 72: 5F: 26: 1B: 28: 98: 43: 95: 5D: 07: 37: D5: 85: 96: 9D: 4B: D2: C3: 45

Identificador de clave de autoridad X509v3:          keyid: AD: BD: 98: 7A: 34: B4: 26: F7: FA: C4: 26: 54: EF: 03: BD: E0: 24: CB: 54: 1A
Asunto: C = SE, O = AddTrust AB, OU = AddTust External TTP Network,   CN = AddTrust External CA Root

Emisor: C = SE, O = AddTrust AB, OU = AddTust External TTP Network, CN = AddTrust External CA Root

Identificador de clave de asunto X509v3:          AD: BD: 98: 7A: 34: B4: 26: F7: FA: C4: 26: 54: EF: 03: BD: E0: 24: CB: 54: 1A

Identificador de clave de autoridad X509v3:          keyid: AD: BD: 98: 7A: 34: B4: 26: F7: FA: C4: 26: 54: EF: 03: BD: E0: 24: CB: 54: 1A

Dado que el AKID en mi certificado no es un SKID en la cadena que proporcionaron, mi certificado no se autentica de inmediato ... ¿verdad?

certificates openssl

pregunta tobinjim 27.10.2014 - 16:44

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificates openssl

¿Puede el cifrado AES evitar la modificación de bits en un protocolo inalámbrico? certificado SSL caducado

score 5 · Accepted Answer

Los identificadores clave son extensiones destinadas a ayudar con la creación de la ruta del certificado, pero no coincide implica un error de validación (al menos en lo que respecta a X.509 / RFC 5280, lo que hacen las implementaciones es otro asunto).

Sin embargo , el DN del sujeto / emisor debe coincidir en una cadena válida, y una falta de coincidencia implica un rechazo inmediato. Si tiene un certificado cuyo "DN de emisor" es "C = US, ST = New Jersey, ...", el certificado inmediatamente anterior en la cadena (el certificado para esa CA que emitió su certificado) debe tener ese nombre exacto en su "sujeto DN". Por lo que dice, ninguno de los certificados que le enviaron cumple con esta propiedad.