Cadena de certificados con comunicación de CA intermedia

0

Soy realmente nuevo en seguridad y estoy mucho más confundido con los conceptos en relación con la CA. Supongamos que existe lo siguiente en un sistema:

         TA
          |
       CA_MID
     /        \
  CA_INT1   CA_INT2
    /|\        /|\
END_ENTn1   END_ENTn2

La CA superior es el ancla de confianza. CA_MID es una CA intermedia que solo emite certificados a otras CA. CA_INT1 y CA_INT2 son CA que emiten certificados a entidades finales, computadoras portátiles (CA_INT1) y escritorios (CA_INT2). Supongamos que tengo una computadora portátil (END_ENTn1) que ha importado la cadena TA, CA_MID, CA_INT1.

1ª pregunta: para comunicarme con un escritorio, ¿también debería importar el CA_INT2 a mi computadora portátil Trust Store?

Segunda pregunta: ¿Existe una opción que el escritorio incluya en su certificado completo en su cadena (TA, CA_MID, CA_INT2) para que una computadora portátil pueda verificar que ambos pertenecen al mismo ancla de confianza, por lo que no tengo que importar? ¿CA_INT2 a la tienda de laptops?

tercera pregunta: ¿es posible tener comunicación entre la computadora portátil y la computadora de escritorio cuando la computadora portátil ha importado todas las CA (TA, CA_MID, CA_INT1, CA_INT2) y la computadora de escritorio solo tiene su cadena (TA, CA_MID y CA_INT2) importada? En este caso, creo que la comunicación puede ser de una sola manera, ¿verdad?

Muchas gracias.

    
pregunta JamieNotF 17.10.2017 - 20:53
fuente

1 respuesta

0
  

1ª pregunta: para comunicarme con un escritorio, ¿también debería importar el CA_INT2 a mi computadora portátil Trust Store?

no a Trust Store, sino a una tienda donde el motor de encadenamiento de certificados buscará los certificados intermedios faltantes. Trust Store se supone que almacena anclas de confianza (que normalmente son certificados autofirmados. En su caso, es TA). Es posible que este paso no sea necesario si CA_INT2 proporciona información sobre su propia ubicación de certificado en la extensión Authority Information Acess (AIA). En este caso, la computadora portátil podrá obtener el certificado CA_INT2 del certificado de escritorio presentado. Es una práctica común y buena incluir la extensión AIA en todos los certificados para facilitar la obtención de certificados de CA intermedios faltantes.

  

Segunda pregunta: ¿Existe una opción que el escritorio incluya en su certificado completo en su cadena (TA, CA_MID, CA_INT2) para que una computadora portátil pueda verificar que ambos pertenecen al mismo ancla de confianza, por lo que no tengo que importar? ¿CA_INT2 a la tienda de laptops?

como se indicó en la primera respuesta, el certificado de CA intermedio se puede obtener de forma dinámica. Sin embargo, en lo que respecta a esta pregunta: depende. Dependiendo de un protocolo de comunicación, el servidor puede enviar la cadena completa (excepto el certificado raíz) o el certificado de hoja solamente y no puede cambiar este comportamiento. Por ejemplo, cuando se usa HTTP sobre SSL / TLS, la hoja y todos los certificados intermedios se envían al cliente. Cuando se usa RDP sobre SSL / TLS, o SSTP VPN, solo se envía el certificado de hoja al cliente.

  

tercera pregunta: ¿es posible tener comunicación entre la computadora portátil y la computadora de escritorio cuando la computadora portátil ha importado todas las CA (TA, CA_MID, CA_INT1, CA_INT2) y la computadora de escritorio solo tiene su cadena (TA, CA_MID y CA_INT2) importada? En este caso, creo que la comunicación puede ser de una sola manera, ¿verdad?

nuevamente, si los certificados intermedios se pueden obtener dinámicamente (a través de la extensión AIA, el protocolo subyacente u otros medios disponibles), todo estará bien.

    
respondido por el Crypt32 17.10.2017 - 22:01
fuente

Lea otras preguntas en las etiquetas