我們已將兩個 CA 憑證 - 1 個根 CA 和 1 個關聯的中間 CA - 新增到對應的作業系統中信託商店(/etc/ssl/證書在我們的 SuSE 11 上),因為它們不是由作業系統的信任儲存提供的(並且可能永遠不會提供,因為它們不在儲存庫中)。
最近,這兩個憑證在自動更新後消失了,明顯的影響是客戶端無法再透過 tls 連線。
事後看來,我們不確定我們是否對條目進行了通常的重新整理,即
# c_rehash /etc/ssl/certs
如果我們沒有進行重新哈希:這是否是更新期間刪除相應憑證的原因?
或者,如果手動將憑證新增至信任儲存體中,是否總是存在遺失憑證的風險(相關係統上有兩個 ssl 程式庫:openssl 和 mozilla-nss)?
答案1
您不會將從屬 CA 新增至信任錨儲存體。您僅明確信任根 CA(信任錨)並隱式信任由該根 CA 或該根的任何從屬 CA 簽署的所有憑證。
如果無法在終端實體和信任錨之間建立鏈,請檢查終端實體是否提供其自身和信任錨之間的所有憑證。看RFC 5256 第 7.4.2 節,特別是certificate_list;其中規定所有憑證(以及可選的根憑證)必須在 TLS 握手中提供。
順便說一句,如果 AIA 擴充功能中指定了憑證的 URL,則 Microsoft 用戶端能夠下載缺少的從屬 CA 憑證。 Mozilla Firefox 等其他瀏覽器不會使用該擴展,理由是保護用戶隱私。
請注意,如果您明確信任從屬 CA,則不能保證您的用戶端將檢查其憑證的撤銷情況。如果將來某個下屬受到危害並被根 CA 撤銷,您的客戶很可能會繼續信任它。這將是特定於實現的。