openssl, цепочка сертификатов эмитента

Question

моя ситуация: Я работаю над приложением, использующим сертификаты openssl и rsa для безопасной связи с другими сторонами. , поэтому нам необходимо обмениваться сертификатами. пока все хорошо. в основном сертификат партнеров - это сертификат, подписанный CA (а не сертификат root или сертификат selfsigend). на моем ноутбуке (debian) У меня есть из дистрибутива самые распространенные корневые сертификаты, установленные в моем opensl-инфраструктуре. поэтому я могу проверить большинство сертификатов партнеров, потому что у меня есть сертификат-root-certis.

моя проблема: на моей мастер-машине У меня нет предустановленного корневого сертификата. так что мне нужно, чтобы проверить партнеров-Certi для эмитента, получить это из Интернета, положил его в мой доверенный Certi директории в OpenSSL и т.д. ......

мой вопрос: это нормальный путь сделать это???? Его немного обширный, а также немного сложный, если это более длинная цепочка.

благодарит за помощь!

С уважением, Крис

Answer 1

Цель наличия корневых сертификатов предустановленные, потому что они служат в качестве верхней части цепочки доверия (на самом деле это больше дерева или леса деревьев ...).

При условии, что они предустановлены, мы предполагаем (хотя мы все знаем, что люди говорят о допущении), что они не подвержены риску и могут использоваться для проверки любого другого сертификата. Хотя можно было бы скомпрометировать их, например. взломать FTP-сервер и возиться с образами DVD дистрибутива Linux, это не очень просто, и он не будет оставаться незамеченным надолго и не может нацелиться на определенную организацию.

В вашем случае, вы должны выполнить одно из следующих действий:

• Установка корневых сертификатов в вашей системе, используя пакет от поставщика вашей системы. Для относительно высокого уровня уверенности вы должны загрузить один и тот же пакет из двух разных мест, предпочтительно через разных интернет-провайдеров (например, из дома и с работы) и из двух или трех разных зеркал. Затем вы можете сравнить загруженные файлы, которые должны быть идентичными. Если ваш системный поставщик предоставляет контрольные суммы для своих файлов пакетов в Интернете, вы также должны их проверить.

• Возьмите корневые сертификаты из надежной системы с помощью USB-накопителя и перенесите их в свою систему. Вы должны заранее проверить безопасность доверенной системы. Хорошим источником будет использование простой Linux-установки с официального установочного диска.

• Настройте как минимум один корневой сертификат (например, с помощью USB-накопителя), затем попытайтесь отследить сертификаты эмитента для своих партнеров. Для каждого сертификата эмитента вы должны вручную проверить и установить любые другие сертификаты в цепочке доверия, пока не достигнете предварительно установленного корневого сертификата. Это может быть очень утомительной процедурой, и вы будете разочарованы, так как большинство ЦС используют несколько сертификатов по различным причинам, от снижения воздействия потенциального компромисса на маркетинговые и бизнес-соображения.

Вы никогда не должны установить сертификат, загруженный из Интернета в качестве доверенного центра сертификации, если вы не можете проверить его достоверность до предустановленного сертификата.

Так как ответ на ваш вопрос: если у вас не будет много времени и терпения, а также желание узнать больше о PKI, чем хотелось бы большинству людей, просто найдите способ установить правильный корневой сертификат на вашей системы.

EDIT:

Я забыл упомянуть, что некоторые производители ОС (например, SuSE) имеют свои собственные сертификаты, предварительно установленные в их системе управления пакетами. В этом случае загрузка пакетов из официальных репозиториев с использованием этой системы управления пакетами должна быть достаточно безопасной, чтобы вам не нужно беспокоиться ни с одним из вышеперечисленных вопросов, чтобы гарантировать правильность пакета корневого сертификата.