He estado siguiendo este tutorial para crear una CA raíz, una CA intermedia y un certificado de servidor.
Puedo verificar:
- el certificado intermedio con el certificado raíz
- el certificado del servidor con el certificado intermedio
Pero no puedo verificar el certificado intermedio + servidor cert del paquete con el certificado raíz.
En otras palabras:
# verify intermediate cert with root cert: OK
openssl verify -CAfile root/certs/ca.cert.pem intermediate/certs/intermediate.cert.pem
# verify server cert with intermediate cert: OK
openssl verify -CAfile intermediate/certs/intermediate.cert.pem intermediate/certs/my.domain.cert.pem
# create bundle intermediate cert + server cert
cat intermediate/certs/my.domain.cert.pem intermediate/certs/intermediate.cert.pem > certs/my.domain.bundle.pem
# checking bundle with the root cert: NOT OK
openssl verify -CAfile root/certs/ca.cert.pem intermediate/certs/my.domain.bundle.pem # NOT OK
Eso me confunde porque pensé que implementaría el certificado de CA raíz en los clientes y que el servidor usara el certificado intermedio + certificado de servidor.
¿Eso significa que solo debo implementar el certificado intermedio en los clientes y que el servidor use solo el certificado del servidor?