¿Es el propietario de RootCA y SubCA - Implementar la cadena a / etc / ssl / certs o simplemente RooCA cert? (Ubuntu)

Navega tus respuestas
0

Hemos configurado una raíz y hemos creado una subca para firmar certificados. ¿Qué se debe implementar en / usr / local / share / ca-certificate / para actualizar las tiendas de CA de confianza? ¿La cadena de certificados o simplemente el certificado RootCA? La mayoría de los archivos de configuración tienen una directiva separada que apunta a la cadena de certificados, por lo que parece que la mejor práctica es que solo se debe confiar en el certificado de rootca.

La forma genérica de esta pregunta es si solo se debe confiar en RootCA o en el certificado intermedio.

gracias

    
pregunta mxc 21.10.2017 - 09:25
fuente

1 respuesta

1

La validación de la ruta debe finalizar en un certificado raíz autofirmado, lo que significa que no es suficiente confiar solo en el certificado intermedio, es decir, en cualquier caso es necesario confiar en la CA raíz.

Si además necesita agregar la CA intermedia, ya que la confianza depende de la configuración de sus sistemas: por lo general, los interlocutores de TLS proporcionan no solo el certificado de hoja sino también cualquier certificado de cadena necesario para verificar el certificado de hoja contra la CA raíz. En este caso, no es necesario agregar explícitamente la CA intermedia como confiable, ya que se proporciona durante el protocolo de enlace TLS. Solo en configuraciones rotas donde esta sub-CA no se proporciona en el protocolo de enlace de TLS, se debe conocer de otra manera, es decir, se agrega a la lista de certificados de confianza.

    
respondido por el Steffen Ullrich 21.10.2017 - 09:49
fuente

Lea otras preguntas en las etiquetas

Identificación del dispositivo para el desafío 2FA Cómo usar Wireshark para capturar datos HTTP para un dispositivo en la misma red que yo