我正在尝试设置分层PKI。我是否可以创建仅包含根CA证书的信任库,这是否意味着我的应用程序信任由sub-ca证书签署的证书,而该证书又由root ca签名?
顺便说一下,您似乎必须提供整个证书链,包括根证书。当然,如果根ca是可信的,则不需要发送证书?我们只想检查下一个证书是否由其签名。
答案 0 :(得分:6)
信任存储应该只包含根CA,而不是中间产品。
标识存储应包含私钥,每个私钥与其证书链相关联,但根目录除外。
野外的许多应用程序配置错误,并且在尝试识别自身时(例如,使用SSL验证自身的服务器),它们只发送自己的证书,并且缺少中间体。错误地将根作为链的一部分发送的次数较少,但这样做的危害较小。大多数证书路径构建器都会忽略它,并从其可信密钥库中找到根路径。
原始问题中的假设是正确的。