Corrija la configuración para generar una CA intermedia privada

11

Estoy usando 'xca' en Linux para configurar una CA privada. xca solo incluye plantillas para la CA raíz y la CA del usuario final, sin intermediarios. ¿Cuáles son las configuraciones correctas (campos y marcas) para una autoridad de certificación de nivel intermedio (y el nivel más bajo en este caso) para distinguirla de los certificados de usuario final y raíz? Sé que la raíz está autofirmada y el intermediario está firmado por la raíz, pero no estoy seguro de la configuración de CA intermedia más allá de eso. Para ser específico, no estoy preguntando acerca de la configuración del software, sino de las diferencias entre los certificados raíz e intermedio.

    
pregunta Bryan D. 19.03.2017 - 22:42
fuente

2 respuestas

2

La única diferencia entre una CA raíz y una CA intermedia es que la raíz es por definición autofirmada.

Y la diferencia entre una CA raíz o intermedia y un certificado final (usuario) es que las dos primeras contienen una extensión x509 Signo de certificado mientras que la última no.

Por lo tanto, eso es solo una cuestión de autofirmado o no y la presencia de una extensión Certificate sign .

    
respondido por el Serge Ballesta 27.03.2018 - 12:22
fuente
1

No estoy seguro si esto responde a la pregunta. Pero similar a una respuesta que di aquí: ¿Cómo dice un navegador la diferencia entre un certificado intermedio y un certificado de entidad final?

  • Restricción básica - > Tipo de asunto:

    • Certificado raíz: "CA"
    • Certificado de entidad final: "Entidad final"
  • Restricción básica - > Restricción de longitud de ruta:

    • Certificado de raíz: 0
    • Certificado de entidad final: ninguno

El tipo de asunto especifica qué tipo de certificado es (CA vs entidad final) y la restricción de longitud de ruta especifica cuántos certificados intermedios pueden estar presentes en la cadena.

Al establecer Path Length en 0, está especificando que puede haber 0 certificados intermedios entre la raíz y la entidad final. Desactivación efectiva de cualquier certificado intermediario.

    
respondido por el keithRozario 27.03.2018 - 10:03
fuente

Lea otras preguntas en las etiquetas