Assinar certificado de cliente com CA confiável

1

Imagine que temos duas empresas, A (nossa) e B, ambas com alguns serviços da web. A empresa A usa o serviço da Web B da empresa e vice-versa. Todos os serviços da Web são protegidos com certificados SSL do servidor e os certificados SSL do cliente são usados para autenticação.

Para fins de teste, nossa empresa (A) emitiu um certificado de servidor autoassinado e um cliente correspondente, ambos assinados por nossa CA autônoma, que foi adicionada às CAs confiáveis no servidor e nos clientes.

Agora precisamos ir ao mundo real e pedimos um certificado de servidor da GoDaddy. Como obtemos o certificado de cliente correspondente? A empresa B deseja um novo certificado de cliente, que seria assinado com a CA confiável, porque "garante que as chaves particulares permaneçam onde deveriam estar".

Eles enviaram um CSR, o que devo fazer com ele? Como faço para emitir um certificado de cliente confiável usando-o?

O fato interessante é que a Empresa B usa certificados emitidos pela CA Autônoma da Empresa B, mas o navegador a mostra como válida (ou seja, verde), embora eu não tenha adicionado nenhuma CA intermediária às minhas autoridades raiz confiáveis. O caminho de certificação de tal certificado não contém CAs conhecidas como Thawte, Verisign, etc. Como isso é possível?

    
por Mike Khrebtoff 17.06.2014 / 12:17

1 resposta

0

Não há ligação implícita entre o (s) certificado (s) que um cliente usa para autenticar um servidor e aqueles que um servidor usa para autenticar um cliente.

É perfeitamente possível que os clientes autentiquem o servidor usando um certificado emitido por terceiros confiáveis, como o que você tem agora, enquanto o servidor continua a autenticar os clientes usando uma CA particular. Também é possível que o servidor autentique esses mesmos clientes usando um pacote de certificado público. Mas se você quiser que o último se aplique, você não pode assinar esses CSRs; eles devem ir para o GoDaddy (ou outro terceiro confiável) também, cada um, e devem ser assinados.

Por isso, receio que a resposta seja depende . Se o seu servidor ainda estiver configurado para usar uma raiz privada da CA para autenticar os clientes, você deverá assinar os CSRs com essa raiz privada. Os clientes podem continuar a autenticar o servidor usando um pacote público e o novo certificado de terceiros do servidor; Não há nada de errado com esse modelo. Se, no entanto, você reconfigurar seu servidor para usar um pacote de certificado público para autenticar os clientes, cada cliente precisará de um certificado assinado por terceiros confiáveis e você terá que se acostumar a pagar por eles.

Quanto à forma como você vê uma barra verde, talvez seja porque você importou a raiz de sua CA como um certificado de assinatura válido, ou pode ser que ela não tenha sido assinada de maneira privada, mas pública. É impossível dizer sem ver o certificado em questão.

    
por 17.06.2014 / 12:51

Tags