Fatal编程技术网
  • ssl/
  • SSL信任链验证

SSL信任链验证

ssl certificate

SSL信任链验证,ssl,certificate,Ssl,Certificate,我有一个一般性问题。从理论上讲,如果您有以下信任链:RootCA->IntermediateCA->MyDomainCertificate,那么应该验证两个证书才能验证您的证书。当我将MyDomainCertificate.crt(X509v3)发送给某人进行验证时,是否必须将整个链发送给他?验证程序是否能够自动下载所有中间证书 我希望它是这样工作的: 我将MyDomainCertificate.crt发送给某人,他想验证它 验证者需要IntermediateCA.crt(我的颁发者的证书)来验

我有一个一般性问题。从理论上讲,如果您有以下信任链:RootCA->IntermediateCA->MyDomainCertificate,那么应该验证两个证书才能验证您的证书。当我将MyDomainCertificate.crt(X509v3)发送给某人进行验证时,是否必须将整个链发送给他?验证程序是否能够自动下载所有中间证书

我希望它是这样工作的:

  • 我将MyDomainCertificate.crt发送给某人,他想验证它
  • 验证者需要IntermediateCA.crt(我的颁发者的证书)来验证MyDomainCertificate.crt,因此他会自动下载它
  • 验证器需要RootCA.crt来验证IntermediateCA.crt。验证器在本地验证根证书并完成验证过程
    • 示例:

  • Firefox必须能够检查所有服务器证书。firefox能够自动下载所有中间证书,还是所有服务器都发送完整的信任链

  • 如果我有客户端身份验证,Tomcat会自动下载所有中间证书,还是所有客户端都会发送证书的完整信任链

    • 我希望有人能帮助我解决理论/实践上的困惑。谢谢

    配置SSL应始终包括安装中间证书(信任链),因为某些浏览器只有根证书而没有中间证书,并且您的web服务器应向客户端发送中间证书的副本

    您可以使用openssl验证ssl配置。阅读这篇文章: