Нужен ли в магазине доверия сертификат суб-са?

Question

Я пытаюсь установить иерархическую PKI. Могу ли я создать доверительный магазин, содержащий только сертификат root ca, и это означает, что мое приложение доверяет сертификатам, подписанным сертификатом sub-ca, который, в свою очередь, подписан корнем ca?

В стороне, кажется, вы должны предоставить целую цепочку сертификатов, включая сертификат root ca. Конечно, если root ca доверен, сертификат не нужно отправлять? Мы просто хотим проверить, подписан ли следующий сертификат вниз.

Answer 1

Магазин доверия должен содержать только корневые ЦС, а не промежуточные.

Хранилище идентификаторов должно содержать закрытые ключи, каждый из которых связан с цепочкой сертификатов, за исключением корня.

Многие, многие приложения в дикой местности неправильно сконфигурированы, и, пытаясь идентифицировать себя (скажем, сервер, аутентифицирующий себя с помощью SSL), они отправляют свой собственный сертификат и пропускают промежуточные продукты. Есть меньше, чем ошибочно отправить корень как часть цепочки, но это менее вредно. Большинство создателей шаблонов сертификатов просто игнорируют его и находят путь к корню из своего надежного хранилища ключей.

Предположения в исходном вопросе находятся прямо на цель.