Que certificado SSL funciona sem um certificado intermediário?

6

Temos a necessidade de implantar um aplicativo de servidor que tenha seu próprio certificado SSL incorporado. Isso será transferido para um número desconhecido de servidores, que irá aumentar e diminuir.

Podemos gerar este certificado usando qualquer autoridade de certificação, mas no final, teremos apenas o arquivo pfx de certificado 509 (emitido pelo godaddy ou qualquer outra autoridade de certificação). Podemos ter em mãos os certificados intermediários, mas esse servidor web é simples e nos permite especificar o arquivo pfx.

Não poderemos distribuir ou instalar certificados intermediários.

O aplicativo é um aplicativo C # que é executado no Win2008 e superior.

Quais métodos existem para resolver isso?

- Existe um certificado confiável o suficiente para os navegadores confiarem nele sem certificados intermediários?

- ou?

    
por samsmith 01.12.2014 / 22:38

1 resposta

13

Você pode adicionar certs adicionais da cadeia de confiança a um arquivo PKCS # 12 usando o openssl .

Por exemplo, para incluir a cadeia de confiança, você pode usar o seguinte comando:

openssl pkcs12 -export -in input.pfx -out bundle.pfx -CAfile allcacerts.crt -chain

Isso tentaria incluir toda a cadeia de confiança do certificado em seu pfx de saída. Você pode precisar incluir -passin <input password> e -passout <output password> para os requisitos de senha. Você pode forçar a inclusão de qualquer certs em particular com -certfile cacert.crt para incluir todos os certs nesse arquivo.

Você pode usar o mesmo utilitário para inspecionar o arquivo pfx para ver seu conteúdo e imprimir uma quantidade significativa de informações de diagnóstico.

openssl pkcs12 -in bundle.pfx -info
    
por 01.12.2014 / 23:37