क्या ट्रस्टस्टोर को उप-सीए प्रमाणपत्र की आवश्यकता है?

Question

मैं एक पदानुक्रमित पीकेआई स्थापित करने की कोशिश कर रहा हूं। क्या मैं एक ट्रस्टस्टोर बना सकता हूं जिसमें केवल रूट सीए प्रमाण पत्र है, और इसका मतलब यह होगा कि मेरे आवेदन ट्रस्ट प्रमाण पत्र उप-सीए प्रमाण पत्र द्वारा हस्ताक्षरित हैं जो बदले में रूट सीए द्वारा हस्ताक्षरित है?

एक तरफ के रूप में, ऐसा लगता है कि आपको रूट सीए प्रमाणपत्र सहित एक संपूर्ण प्रमाणपत्र श्रृंखला प्रदान करनी होगी। निश्चित रूप से यदि रूट सीए भरोसा है, तो प्रमाणपत्र को भेजने की आवश्यकता नहीं है? हम सिर्फ यह जांचना चाहते हैं कि अगला प्रमाणपत्र नीचे हस्ताक्षरित है या नहीं।

Answer 1

ट्रस्ट स्टोर में रूट सीए, केवल मध्यवर्ती नहीं होना चाहिए।

एक पहचान स्टोर में रूट के अलावा, अपनी प्रमाणपत्र श्रृंखला से जुड़ी प्रत्येक निजी कुंजी होनी चाहिए।

जंगली में कई अनुप्रयोग गलत तरीके से कॉन्फ़िगर किए गए हैं, और स्वयं को पहचानने की कोशिश करते समय (कहें, एक सर्वर स्वयं एसएसएल के साथ प्रमाणित कर रहा है), वे केवल अपना प्रमाणपत्र भेजते हैं, और मध्यवर्ती गायब हैं। कम हैं कि गलती से श्रृंखला के हिस्से के रूप में रूट भेजते हैं, लेकिन यह कम हानिकारक है। अधिकांश सर्टिफिकेट पथ बिल्डर्स इसे अनदेखा कर देंगे, और अपने विश्वसनीय कुंजी स्टोर से रूट के लिए पथ खोज लेंगे।

मूल प्रश्न में अनुमान सही लक्ष्य पर हैं।