1

Допустим, у нас есть внутренний CA, принадлежащий бизнесу. Его сертификату доверяет один из доверенных корней, который присутствует во всех браузерах.

С этим центром сертификации мы выпускаем несколько сертификатов для серверов в организации, например, для веб-почты по SSL.

Если пользователь посещает этот сервер веб-почты и имеет доверенный корень в своем хранилище доверенных корневых сертификатов, будет ли он автоматически доверять сертификату сервера веб-почты, даже если он явно не доверяет сертификату ЦС предприятия?

Насколько я понимаю, промежуточные сертификаты наследуют доверие подписавшего, но хотят подтвердить.

|источник

1 ответ1

1

Браузер должен проследить цепочку сертификатов до одного из сертификатов CA, которым он явно доверяет. Таким образом, если цепочкой является RootCA(доверенный) -> IntermediateCA -> YourCert, браузер должен иметь промежуточный сертификат CA для проверки цепочки.

Если вы используете Apache, вы можете использовать директиву SSLCertificateChainFile, чтобы позволить веб-серверу представить промежуточный сертификат (ваш внутренний ЦС) браузеру. Тогда все будет работать нормально. Я уверен, что подобные механизмы существуют во всех других основных веб-серверах.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .