我们具有以下证书链:
如果我这样做会有所作为
在验证叶设备证书的方式上是否会有任何差异?我们的RootCA是自签名的公司根目录。
问题的背景是,我按照MS样本here将rootCA上传到IoT中心。但是,我们的安全专家拒绝验证资产证明。原因:我们的rootCA已锁定,不应颁发任何子证书。他要求我指出说我们必须使用rootCA的文档。我没有发现这一点。
由于我不了解IoT中心的内部,我有点茫然。我们正在从一项自制服务迁移到IoT解决方案。在我们自己的服务中,我确实自己执行了证书链的验证,并且确实需要根证书。
有人有类似的动手经验吗?
当然,可以选择仅上传两个中间对象并进行尝试,而我直觉感觉这将起作用,所以问题更像是我是否通过这样做创建了潜在的安全漏洞?
答案 0 :(得分:0)
对于延迟的回复,我感到抱歉。对于您的方案,可以将选项(b)与上载到IoT中心的中间CA结合使用: •将IntermProduction用于生产中心,将IntermTest用于测试中心。 •从中间CA开始验证叶设备,该中间CA已链接到您的根CA。 •您的安全专家应能够为中间CA允许拥有证明(PoP)。
使用此选项可为您提供使用中间CA的安全性和灵活性,同时限制了根CA本身的使用(即,根CA未上传到IoT中心)。