2010-11-30 22 views
0

httpsサーバー(ウィンドウ)に接続したときに証明書ストアと比較した場合、証明書ストアは信頼できる証明書を検索しますか?ブラウザと証明書ストア

答えて

2

特定のブラウザが使用する信頼できるルートストアにルートCA証明書が必要です。 https://help.riseup.net/security/certificates/import/

ブラウザはないがここにサーバーの証明書を見つける必要がない:ここでは役立つかもしれないシンプルなGoogle検索のページです。このストアにインストールする必要があるのは、サーバーの証明書(または証明書チェーン)に署名したルートCA証明書です。

たとえば、サーバーに証明書Sがあり、Sに「MY-ROOT-CA "、MY-ROOT-CAを信頼できるルートストアにインストールする必要があります。

中間CA "SOME-CA"がサーバーの証明書Sに署名し、MY-ROOT-CAがSOME-CAに署名した場合は、ブラウザマシンにMY-ROOT-CAのみをインストールする必要があります信頼できるルートストアに保存します。

SがSOME-CAによって署名されている場合、SOME-CAはブラウザマシンのどこかにインストールする必要がありますが、必ずしも信頼できるルートストアにインストールする必要はありません。この場合、サーバーはSとSOME-CAの両方を送信している可能性があり、MY-ROOT-CAを送信することさえあります。しかし、チェーンの各リンクは、サーバーによって送信されるか、ローカルマシンに存在する必要がありますが、最後のMY-ROOT-CAは常にインストールする必要があり、これを特別な信頼されたルートストア。

+0

この回答に関する唯一の部分は、ルート発行の公開証明書が証明書ストアに存在する必要があるという要件です。実際には、サイト(S)自体の公開証明書を含め、発行チェーン内の任意の*証明書にすることができます。発行チェーン内の証明書が信頼されたルートストアで検出されると、信頼が確立され、検索が停止します。失効だけがその時点で信頼を停止することができます。上記の例では、信頼できるルートストア内のSは、ストア内にある場合はSA(Sの発行者)と同じことを信用します。 – WhozCraig

+0

@WhozCraig:使用しているTLSの実装によって異なります。 OpenSSLは、ルート自己署名CAがトラストストアにない限り、証明書を検証しません。信頼ストア内に従属CAが存在するだけでは不十分です。 –

関連する問題