階層型PKIをセットアップしようとしています。ルートCA証明書のみを含むトラストストアを作成できますか?つまり、アプリケーションは、ルートCAによって署名されたサブCA証明書によって署名された証明書を信頼しますか?
余談ですが、ルートCA証明書を含む証明書チェーン全体を提供する必要があるようです。確かに、ルートCAが信頼されている場合は、証明書を送信する必要はありませんか?次の証明書が署名されているかどうかを確認したいだけです。
Draemon
質問する
3288 次
1 に答える
10
トラスト ストアには、ルート CA のみを含め、中間 CA は含めないでください。
ID ストアには、ルート以外の証明書チェーンに関連付けられた秘密鍵が含まれている必要があります。
世の中には非常に多くのアプリケーションが誤って構成されており、自分自身を識別しようとすると (たとえば、SSL で自分自身を認証するサーバー)、自分の証明書のみを送信し、中間体を欠いています。ルートをチェーンの一部として誤って送信することは少なくなりますが、これはそれほど害はありません。ほとんどの証明書パス ビルダーはそれを無視し、信頼できるキー ストアからルートへのパスを見つけます。
元の質問の仮定は的を射ています。
于 2008-12-09T23:01:23.533 に答える