带头... 到目前为止,我不是 SSL 应用程序安全方面的专家,但我正在尝试建立一个测试环境,其中包括我们在生产中可能遇到的所有可能场景。为此,我有一个证书颁发机构 (CA) 树,它们是各种测试客户端证书和节点/服务器证书(代表各种已发布 Web 服务和我们与之集成的其他应用程序的复杂测试环境)的颁发者。
这些 CA 的结构如下: Root CA,已签署/颁发了 Sub CA1、Sub CA2 和 Sub CA3。这些潜艇随后签署/颁发了环境中这些不同节点和客户端的所有证书。
现在的问题....在我的应用程序的信任库中,我想信任由 Sub CA1 和 Sub CA2 签名的所有内容,但不信任 Sub CA3(不受信任)。这是否意味着我的信任库应该 (1) 只包含 Sub CA1 和 Sub CA2,或者 (2) 它应该包含 Root CA、Sub CA1 和 Sub CA2?
我不知道在信任库中表示此信任链的正确方法是什么。将来我还想添加一个 Sub CA4(也由根 CA 签名/颁发),但将其添加到证书吊销列表 (CRL) 以进行测试。
提前感谢您对此提供的任何帮助。非常感谢。