Almacenamiento en CA raíz y certificado de CA intermedio en dispositivo integrado

Navega tus respuestas
0

Con respecto al almacenamiento de certificados de CA raíz en un dispositivo integrado

Explicación de la configuración: 1. Un dispositivo integrado que es un CLIENTE en la red. 2. Hay un SERVIDOR que se conecta al CLIENTE en SSL / TLS

También podemos acceder al servidor desde cualquier navegador web . Hemos extraído los siguientes certificados del navegador web cuando estamos conectados al SERVIDOR.

Los certificados son

1. Raíz CA 2. Intermedio ** CA validación de dominio CA. **

Se ve que en el navegador se almacena como una cadena de certificados.

Ahora la consulta es si necesitamos almacenar ambos certificados en nuestros dispositivos integrados o cualquiera de ellos es suficiente. Si solo es uno, debe ser una CA raíz o certificados intermedios de validación de dominio.

Por favor, necesita entradas lo antes posible.

Gracias de antemano.

Saludos,

SSK

    
pregunta ssk 28.01.2015 - 12:57
fuente

2 respuestas

1

Dispositivo integrado o no, el único requisito es que debe poder seguir la cadena de certificados hasta algo en lo que confíe. Entonces, si su servidor está entregando toda la cadena (como parece que lo implica), solo tendría que almacenar la CA raíz en el dispositivo integrado.

    
respondido por el Dillinur 28.01.2015 - 13:35
fuente
0

Puede ser cualquiera de los dos. El almacenamiento de la raíz es más habitual, ya que suele ser válido durante más tiempo. Las claves privadas de CA generalmente están más expuestas, por lo que es más probable que tengan que ser revocadas por alguna razón.

Si solo almacena la raíz, entonces necesita suficientes criterios de validación para asegurarse de que solo acepta certificados dentro de la ruta de acceso del certificado correcto. Si hay otra CA intermedia, es posible que no desee aceptar certificados emitidos por esa CA.

En general, no es suficiente solo verificar los certificados a una raíz confiable para confiar en el certificado de hoja. También debe realizar la validación de nombres DNS, el período de validez, el estado de revocación, etc.

    
respondido por el Maarten Bodewes 28.05.2015 - 17:26
fuente

Lea otras preguntas en las etiquetas

En mi MacBook, ¿mi contraseña de usuario es ahora el talón de Aquiles del cifrado de disco? SSH robando archivos del cliente?