PKI Intermediate Certificate Trust

Navegue suas respostas
1

Digamos que temos uma CA interna de propriedade da empresa. Seu certificado é confiável por uma das Raízes Confiáveis presente em todos os navegadores.

Com essa CA, emitimos vários certificados para servidores na organização - por exemplo, para webmail sobre SSL.

Para um usuário que vem visitar esse servidor de webmail e tem a raiz confiável presente em seu armazenamento de certificado raiz confiável, ele confiaria automaticamente no certificado do servidor de webmail, mesmo que ele não confie explicitamente no certificado CA da empresa?

Entendo que certificados intermediários herdam a confiança de seu signatário, mas querem confirmar.

    
por Paul 17.11.2011 / 22:08

1 resposta

1

O navegador deve rastrear a cadeia de certificados para um dos certificados de CA nos quais confia de maneira explícita. Então, se a cadeia é RootCA (confiável) - > IntermediateCA - > YourCert, o navegador deve ter o certificado CA intermediário para validar a cadeia.

Se você estiver usando o Apache, poderá usar a diretiva SSLCertificateChainFile para permitir que o servidor web apresenta o certificado intermediário (sua autoridade de certificação interna) ao navegador. Então tudo vai funcionar bem. Tenho certeza de que existem mecanismos semelhantes em todos os outros principais servidores da Web.

    
por 17.11.2011 / 22:42

Tags

Problema de rede doméstica Por que o Chrome mostra texto sobreposto? [fechadas]