Un fichier de clés certifiées a-t-il besoin du certificat sous-CA?

Question

J'essaye de mettre en place une PKI hiérarchique. Puis-je créer un fichier de clés certifiées contenant uniquement le certificat ca racine, et cela signifie-t-il que mon application fait confiance à des certificats signés par un certificat sous-ca qui est à son tour signé par le ca racine? En outre, il semble que vous devez fournir une chaîne de certificats complète, y compris le certificat ca racine. Sûrement si le ca racine est approuvé, le certificat ne devrait pas avoir besoin d'être envoyé? Nous voulons juste vérifier si le prochain certificat est signé par lui.

Answer 1

Le fichier de clés certifiées ne doit contenir que les autorités de certification racines et non les intermédiaires.

Un magasin d'identité doit contenir des clés privées, chacune associée à sa chaîne de certificats, à l'exception de la racine. Beaucoup d'applications dans la nature sont mal configurées, et lorsqu'elles essaient de s'identifier elles-mêmes (par exemple, un serveur s'authentifiant avec SSL), elles envoient seulement leur propre certificat et manquent les intermédiaires. Il y en a moins qui envoient par erreur la racine dans le cadre de la chaîne, mais cela est moins nocif. La plupart des constructeurs de chemin de certificat vont simplement l'ignorer et trouver un chemin d'accès à une racine depuis leur magasin de clés sécurisé.

Les suppositions dans la question d'origine sont juste sur la cible.