¿Es necesario cargar una subca a los certificados de confianza de los navegadores o es suficiente la raíz?

Navega tus respuestas
0

Hemos configurado una subca para firmar certificados y hemos implementado el certificado de rootca en un navegador, pero seguimos recibiendo advertencias de seguridad a menos que carguemos el certificado de subca en el navegador.

Mi entendimiento confía en que el certificado de rootca debería ser suficiente. ¿Mi entendimiento es incorrecto o parece que hay algún problema con la cadena de certificados? La inspección de los certificados y la cadena muestra que la cadena es correcta y no nos hemos confundido en todas las pruebas, pero podría estar equivocado :)

gracias

    
pregunta mxc 25.10.2017 - 07:09
fuente

1 respuesta

2

Basta con tener la CA raíz en el navegador. Sin embargo, su servidor TLS debe proporcionar todos los certificados intermedios en el protocolo de enlace TLS, de modo que el cliente tenga todos los certificados necesarios para construir la cadena de confianza desde el certificado del servidor hasta la CA raíz de confianza. Es un error común olvidarse de configurar el servidor en consecuencia, es decir, a menudo solo se envía el certificado hoja, pero faltan los certificados de cadena, están en el orden incorrecto o son incorrectos.

    
respondido por el Steffen Ullrich 25.10.2017 - 07:22
fuente

Lea otras preguntas en las etiquetas

¿Qué tipo de texto codificado es este y cómo puedo traducirlo? [duplicar] ¿Tiene sentido almacenar claves privadas RSA en lugar de hashes de contraseña?