一般的な質問があります。理論的には、次の信頼チェーンがある場合: RootCA -> IntermediateCA -> MyDomainCertificate の場合、証明書を検証するには 2 つの証明書を検証する必要があります。MyDomainCertificate.crt (X509v3) を検証のために誰かに送信する場合、チェーン全体を送信する必要がありますか? 検証者はすべての中間証明書を自動的にダウンロードできますか?
これは私がそれがうまくいくことを願っています:
- MyDomainCertificate.crt を誰かに送信しましたが、彼はそれを確認したいと思っています。
- 検証者は、MyDomainCertificate.crt を検証するために IntermediateCA.crt (発行者の証明書) を必要とするため、自動的にダウンロードします。
- 検証者は、IntermediateCA.crt を検証するために RootCA.crt を必要とします。検証者は、このルート証明書をローカルで取得し、検証プロセスを完了します。
例:
Firefox は、すべてのサーバー証明書をチェックできる必要があります。Firefox はすべての中間証明書を自動的にダウンロードできますか、それともすべてのサーバーが完全な信頼チェーンを送信しますか?
クライアント認証がある場合、Tomcat はすべての中間証明書を自動的にダウンロードしますか、それともすべてのクライアントが証明書の完全な信頼チェーンを送信しますか?
誰かが私の理論/実践の混乱を助けてくれることを願っています. ありがとう!