Situación: Tengo una PKI interna con una CA raíz compartida y varias CA intermedias. Quiero que todo lo emitido por cualquier CA intermedia confíe entre sí. ¿Hay alguna manera de hacer esto con la que la mayoría de los programas/lenguajes estén satisfechos?
Mi entendimiento actual es que estono esfácilmente posible, pero me pregunto si mi comprensión es errónea.
Entonces si tenemos programas:
- funky fresco con una cadena de confianza de raíz compartida => primer int
- brillantemente limpio con cadena de confianza de raíz compartida => segundo int
y necesito absolutamente confianza mutua entre estos dos, ¿mi única opción es crear un certificado de CA grande con raíz=>primero y raíz=>segundo grapados entre sí? ¿O puedo de alguna manera simplemente tener una cadena con raíz?
¿Podría solucionar todo esto agregando la raíz al almacén de confianza a nivel del sistema operativo, o si son contenedores, a un almacén de confianza de contenedores determinado? (bajo /etc/pki/ca-trust/source/anchorso algo así)
Mi segundo pensamiento, y tal vez sea malo, pero como todo es interno y tenemos una CRL, podemossoloutilice una CA raíz y simplemente mantenga un ojo estricto y una CRL limpia para los certificados TLS en lugar de los certificados de nivel CA.
¿Hay alguna forma de conseguir que el software construya su propia cadena si expongo las CRL y CA en puntos finales específicos definidos en cualquier lugar?
Respuesta1
No estoy seguro de haber entendido correctamente tu pregunta o si entiendes bien el concepto, pero
- Los certificados no confían entre sí; en cambio, el cliente TLS confía en algunas autoridades de certificación y, a partir de esto, obtiene confianza en los certificados del servidor.
- Básicamente, un cliente TLS confía en todos los certificados emitidos por una CA confiable, siempre y cuando cumpla con las expectativas, como que no haya caducado, coincida con el asunto, etc. El cliente TLS debe poder construir la cadena de confianza hasta la CA confiable. Por lo tanto, el cliente TLS necesita conocer los certificados intermedios relevantes que generalmente se envían dentro del protocolo de enlace TLS.
Por lo tanto, si desea que cualquier cliente confíe en cualquier certificado sin importar qué CA intermedia se haya utilizado, entonces a) el cliente debe confiar en la CA raíz y b) los servidores deben enviar las CA intermedias durante el protocolo de enlace TLS además del servidor. certificado.