SSL信任链验证

时间:2012-10-22 10:48:28

标签: ssl certificate

我有一个普遍的问题。从理论上讲,如果您有以下信任链:RootCA - >中间体CA - > MyDomainCertificate,应验证2个证书以验证您的证书。当我将MyDomainCertificate.crt(X509v3)发送给某人进行验证时,我是否必须向他发送整个链?验证者是否能够自动下载所有中间证书?

我希望它能起作用:

  1. 我将MyDomainCertificate.crt发送给某人,他想验证它。
  2. 验证者需要IntermediateCA.crt(我的发行人的证书)才能验证MyDomainCertificate.crt,因此他会自动下载。
  3. 验证者需要RootCA.crt才能验证IntermediateCA.crt。验证者在本地验证此根证书并完成验证过程。

    4. 示例:

    1. Firefox必须能够检查所有服务器证书。 firefox是否能够自动下载所有中间证书,或者所有服务器都发送完整的信任链?

    2. 如果我有客户端身份验证,Tomcat会自动下载所有中间证书,还是所有客户端都会为其证书发送完整的信任链?

      3. 我希望有人可以帮助我的理论/实践混乱。谢谢!

1 个答案:

答案 0 :(得分:1)

配置SSL应始终包括安装中间证书(信任链)因为某些浏览器只有根证书且没有中间证书,并且您的Web服务器应将副本发送到中间证书的客户端。

您可以使用openssl验证您的ssl配置。阅读这篇文章: https://major.io/2012/02/07/using-openssls-s_client-command-with-web-servers-using-server-name-indication-sni/

相关问题
最新问题