¿Puede un certificado tener múltiples cadenas y múltiples raíces autofirmadas?

7

El siguiente documento de MSFT tiene este párrafo:

  
  1. Todas las cadenas de certificados posibles se crean utilizando certificados en caché local. Si ninguna de las cadenas de certificados termina en un autofirmado   certificado, CryptoAPI selecciona la mejor cadena posible y   intento de recuperar certificados de emisor especificados en la autoridad   Extensión de acceso a la información para completar la cadena. Este proceso es   se repite hasta que se construye una cadena a un certificado autofirmado.

  2.   
  3. Para cada cadena que termina en un certificado autofirmado en el almacén raíz de confianza, se realiza la comprobación de revocación.

  4.   

¿Esto implica que un solo certificado puede tener múltiples "cadenas"? ¿Cómo se vería esto y dónde se usaría?

    
pregunta random65537 02.06.2012 - 05:14
fuente

1 respuesta

8

Se crean múltiples raíces cuando

  • Un certificado de se renueva o

  • Se vuelve a ingresar un certificado

Esto se aplica a todos los certificados en la jerarquía de CA.

Para hacer las cosas más interesantes, la propia lista de revocaciones (CRL / OCSP) está firmada y puede tener su propia PKI. También pueden tener su propio juego de llaves. (¿Para verificar el verificador?)

En otras palabras,

  • Las cadenas descubiertas al verificar las respuestas de CRL, Deltas y OCSP también cuentan para una raíz de CA que se descubre. (tenga en cuenta que la verificación de OCSP puede suprimirse mediante id-pkix-ocsp-nocheck )

La arquitectura de CA tiene un efecto en el proceso de construcción de la cadena. Antes de que una cadena de certificados distinta se considere válida, el motor de encadenamiento construye todas las cadenas posibles con el certificado que se está verificando. Si un certificado de entidad final fue generado por una CA recién configurada, la cadena de certificados es sencilla. Sin embargo, un certificado que fue emitido por una CA renovada o donde existe una certificación cruzada entre la CA emisora y otra CA, pueden existir múltiples cadenas de certificados.

El gráfico completo de las cadenas de certificados se construye y luego se ordena por la "calidad" de la cadena. La cadena de mejor calidad para un certificado final dado se devuelve a la aplicación de llamada como la cadena predeterminada.

A continuación se muestran ilustraciones de procesos de validación en una PKI de nivel único, N-Tier, Cross y Bridge

Única CA

NTier

Cross Trust CA

BridgeCA

Más información sobre topología y certificaciones PKI es al final de este artículo

    
respondido por el random65537 02.06.2012 - 22:06
fuente