我有一个普遍的问题。理论上,如果您有以下信任链:RootCA -> IntermediateCA -> MyDomainCertificate,则应验证 2 个证书以验证您的证书。当我将 MyDomainCertificate.crt (X509v3) 发送给某人进行验证时,我是否必须将整个链发送给他?验证者是否能够自动下载所有中间证书?
我希望它是这样工作的:
- 我将 MyDomainCertificate.crt 发送给某人,他想验证它。
- 验证者需要 IntermediateCA.crt(我的颁发者的证书)来验证 MyDomainCertificate.crt,所以他会自动下载它。
- 验证者需要 RootCA.crt 才能验证 IntermediateCA.crt。验证者在本地拥有这个根证书并完成验证过程。
例子:
Firefox 必须能够检查所有服务器证书。Firefox 是否能够自动下载所有中间证书,还是所有服务器都发送完整的信任链?
如果我有客户端身份验证,Tomcat 会自动下载所有中间证书,还是所有客户端都为他们的证书发送完整的信任链?
我希望有人可以帮助我的理论/实践混乱。谢谢!