我为根CA,中间CA和服务器创建了三个证书。它们代表了简单的信任链:
server -> intermediate -> root
问题是如何正确地将它们放在客户端和服务器上 我有两个选择:
将 root 证书放入客户端 trustStore 和其他 - 中间和服务器证书中服务器 keyStore 。因此,服务器将发送两个证书,客户端将验证具有中间的服务器证书,该证书将使用存储在客户端的trustStore中的根证书进行验证。
当服务器仅在 keyStore <中存储自己的证书时,将 root 和中间证书放入客户端 trustStore / EM>
启发我:)
答案 0 :(得分:1)
当我使用中间证书设置Web服务器时,我已将中间证书放在服务器上。它是服务器向客户端证明其身份的工作,并且为此,它在Web服务器证书和受信任的根之间发送证书层次结构(中间证书),因为客户端可能没有这些。 因此,我认为你的选择1是我想要的方式。
答案 1 :(得分:0)
您不需要在客户端信任库中安装两者根证书和中间证书。这只是多余的。您安装的内容取决于您希望客户端信任的对象。通常,这将是根CA,因此您只能在客户端安装它。如果由于某种原因您只希望客户端信任中间CA,则只能安装它。