Estoy implementando una PKI para un entorno de prueba y tengo todo casi configurado. La arquitectura consta de una CA raíz, dos emisoras (CA intermedias) y clientes. Los certificados de cliente y los certificados de servidor se implementan y se requieren para la autenticación. Todo funciona bien, pero tuve algunas preguntas sobre la integración de un tercer dispositivo.
Tengo un firewall que buscará un certificado de cliente para autenticar a los usuarios. Los clientes ya tienen el certificado de CA raíz cargado en su almacén de confianza (es decir, la CA raíz que emitió la CA intermedia que emitió el certificado de cliente).
Para que el firewall autentique a los usuarios, creo que también debo agregar el certificado de CA raíz al almacén de confianza del firewall para que cuando un cliente presente un certificado de cliente, el firewall pueda confiar en que el cliente posee un certificado que tiene Una cadena de confianza de vuelta a la CA raíz. Aquí es donde estoy un poco confundido. Estoy bastante seguro de que agrego el certificado de CA raíz al cortafuegos, pero también me pregunto si el certificado de CA Emisora debe agregarse también o no se debe agregar.
De esto tengo dos preguntas:
El cortafuegos recibió un certificado firmado de la CA intermedia y el cliente también lo hizo. ¿Debo agregar el certificado de CA raíz o el certificado de CA intermedio al almacén de confianza del firewall?
Más importante, ¿por qué? ¿Por qué se agrega el certificado de CA raíz y no el certificado de CA emisora? Creo que sé por qué, pero no conozco todos los detalles, si alguien pudiera desglosar los detalles y pasar por el proceso exacto por el que pasaría el firewall para validar el certificado del cliente.