【问题标题】:Do I need to import SSL chain in order?我需要按顺序导入 SSL 链吗?
【发布时间】:2018-09-19 07:32:15
【问题描述】:

我有一个由中间 CA 签名的 SSL 证书,然后中间 CA 证书由根 CA 签名。 我需要将这些证书导入我的信任库才能访问此服务。

我的问题是 - 导入这些证书是否需要遵循任何特定顺序。

例如先导入 SSL 证书,然后是中间 CA 证书,然后是根 CA 证书

或者我可以按任何顺序导入证书并确信它会起作用。

问题的第二部分 - 当 PKIX 路径构建发生时,它是否关心证书在信任库中的顺序。

【问题讨论】:

    标签: ssl ssl-certificate x509certificate truststore


    【解决方案1】:

    不,信任库中证书的顺序无关紧要。

    当服务器提供的证书链得到验证时,客户端会在信任库中搜索匹配项,从最终证书开始直到根。每个证书都使用上层证书的公钥进行验证,直到找到与信任库的匹配项。当证书本身或其直接上级存在时匹配(证书已由上级证书进行数字签名)。

    因此顺序无关紧要,因为链中每个证书的数字签名都将被验证

    【讨论】:

    • 谢谢,有道理。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-11-03
    • 1970-01-01
    • 1970-01-01
    • 2023-04-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多