11

我正在尝试设置分层 PKI。我可以创建一个仅包含根 ca 证书的信任库,这是否意味着我的应用程序信任由子 ca 证书签名的证书,而该子证书又由根 ca 签名?

顺便说一句,您似乎必须提供整个证书链,包括根 ca 证书。当然,如果根 ca 受信任,则不需要发送证书?我们只想检查下一个证书是否由它签名。

4

1 回答 1

10

信任库应该只包含根 CA,而不是中间 CA。

身份存储应包含私钥,每个私钥都与其证书链相关联,根除外。

很多很多应用程序都配置错误,并且在尝试识别自己时(例如,使用 SSL 进行身份验证的服务器),它们只发送自己的证书,并且缺少中间体。错误地将根作为链的一部分发送的情况较少,但这危害较小。大多数证书路径构建者会忽略它,并从其受信任的密钥库中找到根路径。

原始问题中的假设是正确的。

于 2008-12-09T23:01:23.533 回答