CA raíz o CA intermedia en el almacén de confianza del firewall

0

Estoy implementando una PKI para un entorno de prueba y tengo todo casi configurado. La arquitectura consta de una CA raíz, dos emisoras (CA intermedias) y clientes. Los certificados de cliente y los certificados de servidor se implementan y se requieren para la autenticación. Todo funciona bien, pero tuve algunas preguntas sobre la integración de un tercer dispositivo.

Tengo un firewall que buscará un certificado de cliente para autenticar a los usuarios. Los clientes ya tienen el certificado de CA raíz cargado en su almacén de confianza (es decir, la CA raíz que emitió la CA intermedia que emitió el certificado de cliente).

Para que el firewall autentique a los usuarios, creo que también debo agregar el certificado de CA raíz al almacén de confianza del firewall para que cuando un cliente presente un certificado de cliente, el firewall pueda confiar en que el cliente posee un certificado que tiene Una cadena de confianza de vuelta a la CA raíz. Aquí es donde estoy un poco confundido. Estoy bastante seguro de que agrego el certificado de CA raíz al cortafuegos, pero también me pregunto si el certificado de CA Emisora debe agregarse también o no se debe agregar.

De esto tengo dos preguntas:

El cortafuegos recibió un certificado firmado de la CA intermedia y el cliente también lo hizo. ¿Debo agregar el certificado de CA raíz o el certificado de CA intermedio al almacén de confianza del firewall?

Más importante, ¿por qué? ¿Por qué se agrega el certificado de CA raíz y no el certificado de CA emisora? Creo que sé por qué, pero no conozco todos los detalles, si alguien pudiera desglosar los detalles y pasar por el proceso exacto por el que pasaría el firewall para validar el certificado del cliente.

    
pregunta bm07 24.08.2018 - 15:36
fuente

1 respuesta

1

No daré una explicación completa de cómo funciona la validación de certificados, ya que ya hay varias respuestas excelentes en este sitio si busca " cómo funciona la validación de certificados ".

Sus preguntas:

  

El cortafuegos recibió un certificado firmado de la CA intermedia y el cliente también lo hizo. ¿Debo agregar el certificado de CA raíz o el certificado de CA intermedio al almacén de confianza del firewall?

La única respuesta real aquí es "Depende de cómo funciona su firewall, el manual debería indicarle". Por lo general, confías en una CA raíz.

  

Más importante, ¿por qué? ¿Por qué se agrega el certificado de CA raíz y no el certificado de CA emisora? Creo que sé por qué, pero si alguien pudiera desglosar los detalles y pasar por el proceso exacto que pasaría el firewall para validar el certificado del cliente.

Para ver el proceso exacto, vea cualquiera de las otras excelentes respuestas en este sitio.

Para una intuición, pregúntese por qué configura una CA raíz y una CA intermedia en primer lugar. ¿Por qué no solo hiciste una raíz y le enviaste certificados a tus clientes? Por lo general, la respuesta es que desea la capacidad de revocar la CA intermedia si se ve comprometida. Si le dice a sus programas que confíen explícitamente en la CA Intermedia, entonces incluso si lo revoca en la raíz, el software continuará confiando en él, porque se lo indicó. También puede tener problemas técnicos, ya que muchos motores de validación de certificados no están contentos si la cadena de certificados no termina con un certificado autofirmado.

    
respondido por el Mike Ounsworth 24.08.2018 - 15:54
fuente

Lea otras preguntas en las etiquetas