gpt4 book ai didi

ssl - 为什么不信任有效的中间 x509 证书?

转载 作者:太空宇宙 更新时间:2023-11-03 13:52:49 24 4
gpt4 key购买 nike

   A
/ \
B C
| |
D E

当 E(或 C)验证 D 的证书时,他也需要信任 B。有没有办法避免必须将 B 的证书显式添加到 E 的 CA 存储?

使用 openssl,有没有办法自动从客户端或其他来源(可能是 D 证书中的 issuerDistributionPoint 之类的字段)检索 B 的证书?

最佳答案

is there a way to avoid having to explicitly add B's cert to E's CA store?

常见的方法是在 TLS 握手中将所有中间证书与叶证书一起发送。例如,如果您连接到 google.com,您将获得服务器在 TLS 握手中提供的以下证书链:

 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.google.com
1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA

然后,使用中间证书 (1,2),客户端可以构建从叶证书 (0) 到本地存储的受信任 CA (/C=US/O=Equifax/OU=Equifax在这种情况下,安全证书颁发机构)。

当然,您也可以将中间证书添加为客户端中的受信任证书。但是,由于有更多的证书比受信任的根证书更改得更频繁,因此您需要更多的内存,但您也需要使用新的中间证书定期更新您的客户端。

using openssl, is there the way to automate the retrieval of B's cert either from the client or another source (maybe a field like issuerDistributionPoint in D's certificate)?

openssl 不提供特定的工具来处理这个问题。桌面浏览器 Google Chrome 实际上会尝试从 Internet 下载丢失的中间证书,可能是基于证书的授权信息访问部分中的信息。但我不知道其他浏览器(除了 Opera 等其他 Chromium 衍生产品)这样做。

关于ssl - 为什么不信任有效的中间 x509 证书?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36506875/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com