Autoridad de certificación local y cadena de certificados

Navega tus respuestas
0

Sé que puedo configurar una entidad de certificación local para una red local. Puedo emitir certificados para todos los dispositivos en mi red, y mientras confíen en mí, pueden usar dichos certificados para autenticarse entre sí. Los dispositivos externos, en cambio, no confían en mí, por lo que no pueden aceptar los certificados provistos por mis dispositivos internos.

Mi pregunta es

Si mi autoridad de certificación local recibiera un certificado emitido por una CA de confianza internacional, ¿los dispositivos externos podrían reconstruir la cadena de certificados y, al final, aceptar los certificados que emití como válidos?

    
pregunta ssnape 22.03.2016 - 14:42
fuente

2 respuestas

1
  

Si mi autoridad de certificación local recibiera una   Certificado emitido por una CA de confianza internacional, dispositivos externos.   sería capaz de reconstruir la cadena de certificados y así, al final,   ¿Aceptar los certificados que emití como válidos?

Sí. Esto lo convertiría en una CA intermedia ( siempre que se hayan establecido los usos clave necesarios ), que generalmente deberían ser confiado con toda la responsabilidad que viene con esa tarea.

Tenga en cuenta que esto básicamente lo convierte en una CA (casi) con todas las funciones y que realmente no quiero eso . Además, hay empresas que le venden su propia PKI (probablemente para la configuración automática del servidor).

    
respondido por el SEJPM 22.03.2016 - 16:04
fuente
0

Sí, si una CA de confianza internacional emitiera un certificado para su CA local, todos confiarían en cada certificado emitido por su CA local. Luego, puede emitir un certificado para cualquier sitio web del mundo (Google, banca, sitios web, lo que sea) y hacer que el mundo entero confíe en su certificado. Y esta es la razón por la que ninguna CA de confianza internacional le dará a su CA local un certificado que le permita firmar más certificados.

    
respondido por el Jenny D 22.03.2016 - 15:57
fuente

Lea otras preguntas en las etiquetas

¿Es posible enviar claves de serie generadas utilizando HTTP y obtener una, verdad? ¿Cómo intercambiar de forma segura la funcionalidad de un archivo entre dos computadoras?