Benötigt ein Truststore das Sub-CA-Zertifikat?

Question

Ich versuche eine hierarchische PKI einzurichten. Kann ich einen Truststore erstellen, der nur das Root-CA-Zertifikat enthält, und bedeutet das, dass meine Anwendung Zertifikate anerkennt, die von einem Sub-CA-Zertifikat signiert sind, das wiederum vom Root-CA signiert ist?

Nebenbei scheint es, dass Sie eine vollständige Zertifikatskette einschließlich des Root-CA-Zertifikats bereitstellen müssen. Sicher, wenn das root ca vertrauenswürdig ist, sollte das Zertifikat nicht gesendet werden müssen? Wir wollen nur überprüfen, ob das nächste Zertifikat von ihm signiert ist.

Answer 1

Der Trust Store sollte nur die Stamm-CAs enthalten, keine Zwischenprodukte.

Ein Identitätsspeicher sollte private Schlüssel enthalten, die jeweils mit ihrer Zertifikatskette verbunden sind, mit Ausnahme des Stammverzeichnisses.

Viele, viele Anwendungen in der Wildnis sind falsch konfiguriert, und wenn sie versuchen, sich selbst zu identifizieren (sagen, ein Server authentifiziert sich mit SSL), senden sie nur ihr eigenes Zertifikat und fehlen die Zwischenprodukte. Es gibt weniger, die versehentlich die Wurzel als Teil der Kette senden, aber das ist weniger schädlich. Die meisten Builder für Zertifikatpfade ignorieren sie einfach und suchen einen Pfad zu einem Stamm in ihrem vertrauenswürdigen Schlüsselspeicher.

Die Vermutungen in der ursprünglichen Frage sind direkt am Ziel.