我需要按顺序导入 SSL 链吗?
Do I need to import SSL chain in order?
我有一个由中间 CA 签名的 SSL 证书,然后中间 CA 证书由根 CA 签名。
我需要将这些证书导入我的信任库才能访问此服务。
我的问题是 - 导入这些证书时是否需要遵循任何特定的顺序。
例如首先导入 SSL 证书,然后是中间 CA 证书,然后是根 CA 证书
或者我可以按任何顺序导入证书并确信它会起作用。
问题的第二部分 - 当 PKIX 路径构建发生时,它是否关心证书在信任库中的顺序。
不,信任库中证书的顺序无关紧要。
验证服务器提供的证书链后,客户端会在信任库中搜索匹配项,从最终证书开始直至根目录。每个证书都使用上层证书的 public 密钥进行验证,直到找到与信任库的匹配项。当证书本身或其直接上级存在时(该证书已由上级证书进行数字签名),则存在匹配项。
因此顺序无关紧要,因为链中每个证书的数字签名都将被验证
我有一个由中间 CA 签名的 SSL 证书,然后中间 CA 证书由根 CA 签名。 我需要将这些证书导入我的信任库才能访问此服务。
我的问题是 - 导入这些证书时是否需要遵循任何特定的顺序。
例如首先导入 SSL 证书,然后是中间 CA 证书,然后是根 CA 证书
或者我可以按任何顺序导入证书并确信它会起作用。
问题的第二部分 - 当 PKIX 路径构建发生时,它是否关心证书在信任库中的顺序。
不,信任库中证书的顺序无关紧要。
验证服务器提供的证书链后,客户端会在信任库中搜索匹配项,从最终证书开始直至根目录。每个证书都使用上层证书的 public 密钥进行验证,直到找到与信任库的匹配项。当证书本身或其直接上级存在时(该证书已由上级证书进行数字签名),则存在匹配项。
因此顺序无关紧要,因为链中每个证书的数字签名都将被验证