SSL TLS chain — Intermediate certificate должен быть предварительно установлен?

Question

[aleks_first]

Есть GlobalSign R3 сертификат ( public) который установлен по умолчанию на всех ОС.

Далее есть так же промежуточный сертификат, который подписан R3, чтобы подписывать для endpoints сертификаты.
И есть последний сертификат для endpoints который содержит fqdn, ip.

все 3 сертификата находятся в цепочке ( chain) и установленны в application.

Должен ли предварительно установлен промежуточный сертификат в ОС? так как в Windows каким то чудом ( возможно админы ) установлен но не в семействе Linux OS у клиента.

Answer 1

[CityCat4]

Конечно. Проверка валидности идет по цепочке - от сертификата клиента берется DN выпустившего и проверяется на самоподписанность, если нет, берется DN выпустившего и проверяется на самоподписанность, если нет... Если да, проверяется его наличие в хранилище доверенных и идет обратная проверка - все сертификаты проверяются на наличие их в хранилище доверенных.
Поэтому вся цепочка издателей должна быть в доверенных, иначе ква.

Comments

[aleks_first]

Тогда почему при запросе на на другой порт в другом приложении пример 443, я получаю успешное соединение при этом используется все тот же chain and intermediate cert отсутствует в системе ? Как проверить какую цепочку возвращает запрос к приложению ?

[Ivan Ustûžanin]

aleks_first, а серверное приложение (тот же web-сервер) могут клиенту отдавать сразу всю цепочку и клиент может её использовать для проверки, корневой, понятное дело, должен быть в доверенных
у меня так let's-encrypt-овские сертификаты и отдаются — в качестве ssl_certificate указывается fullchain.pem

[aleks_first]

Ivan Ustûžanin, спасибо за ответ. По плану приложение на другом порту должно отдавать всю цепочку но получается оно отдает только 1 сертификат и на втором происходит затык ( не присылает) от этого и вся драма у меня.

[CityCat4]

aleks_first, man s_client. Там можно посмотреть полученный сертификат.