1
我正在设置不同主机上的服务之间的双向SSL通信。假设我有自己的CA.我的所有服务都通过集中的jks来信任我。现在让我们说我有由A签名的证书B.当服务发送证书时,他们应该发送整个链B - A还是B?我相信这两种方法都适用于大多数实现。受信任的根CA应该是证书链的一部分吗?
我试图找到关于这个在线的规范信息,但我什么都没有提出。
感谢您的帮助
A
回答
3
服务器应该发送将要被使用的确切链;明确允许服务器 省略根CA,但仅此而已。
参考(RFC 5246 - TLS v1.2, sec. 7.4.2. - Server Certificate):
certificate_list
这是证书的序列(链)。发件人的 证书必须在列表中排在第一位。每个以下证书 必须直接证明前面的证书。由于证书 验证要求根密钥是独立分发的,因此可以从链中省略指定根证书 权限的自签名证书,前提条件是远程端必须已经拥有它才能验证它 任何情况。
2
可信根CA背后的想法是它是可信的。您是否期望浏览器仅仅因为它包含根CA而信任服务器发送的任何内容?没有!
因此,根CA必须已经在客户端并且必须在那里被信任。它不应该被服务器包含在证书链中,但是如果你这样做了,反正浏览器会忽略它。
相关问题
- 1. GeoTrust是Android => 2.3中的受信任根证书之一吗?
- 2. Jmeter根ca证书
- 3. ADFS错误:证书链的根不是受信任的根证书颁发机构
- 4. Jmeter中的根CA证书
- 5. 证书链的根证书是自签名的,不可信的
- 6. RGoogleTrends:SSL证书的问题,验证该CA证书是OK
- 7. SSL证书和cURL:证书包或不受信任的证书?
- 8. 通SSL层受信任的证书
- 9. 受信任的证书无效
- 10. 在PhantomJS中安装受信任的根证书
- 11. ClickOnce受信任的根证书颁发机构
- 12. 将证书添加到受信任的根机构
- 13. 如何获得Java中受信任根证书的列表?
- 14. 自签名证书和根CA证书是否相同?
- 15. 信任库是否需要sub-ca证书?
- 16. 获取连接的根CA证书
- 17. 将公钥从受信任的根CA导入PKCS12密钥库
- 18. 自动安装:使用证书自签名ClickOnce清单>需要应用程序在客户端PC上的受信任根证书安装根CA
- 19. 中等信任和部分信任是一样的吗?
- 20. C#如何验证根CA证书(x509)链?
- 21. 信任库是否也需要CA的证书进行身份验证?
- 22. android:如何接受CA证书
- 23. 虽然已添加到信任库,但无法接受CA证书
- 24. 为我的API提供CA链:我应该包含链中的所有证书吗?
- 25. Openssl的验证与链接的CA和链接证书
- 26. 下载DoD证书颁发机构(CA)证书的链接
- 27. QSslError:证书是自签名的,而且不受信任
- 28. Selenium2配置文件接受不受信任的证书
- 29. 受信任的证书条目不受密码保护Spring SAML
- 30. 如何将根CA证书导入JxBrowser
什么软件用于验证证书?验证实体除证书之外还有哪些信息? (a [mcve],也许) –
问题更多地是关于特定软件的标准。验证实体提供证书并知道它信任CA. – mck
如果是关于什么标准说,然后相关:http://security.stackexchange.com/questions/81972/what-part-of-tls-specifies-how-to-verify-a-certificate-chain –