是否会覆盖信任存储中手动安装的SSL / TLS中间CA证书？

Question

我们在相应的OS信任存储中添加了两个CA证书--一个根CA和一个相关联的中间CA (/etc/ssl/certs，在我们的SuSE 11上)，因为它们不是由OS‘’es信任存储提供的(而且可能永远不会，因为tey不在回购库中)。

最近，这两个证书在自动更新之后消失了，明显的影响是客户端无法再通过tls连接。

事后看来，我们不确定是否进行了通常的重散列操作，即

    # c_rehash /etc/ssl/certs

如果我们不进行重散:这是否是在更新期间删除相应证书的原因？

或者，如果证书是手工添加到信任存储中的，那么是否总是存在丢失证书的风险(在所讨论的系统中有两个ssl库: openssl和mozilla)？

Answer 1

您不会在信任锚存储中添加从属CA。您只显式地信任根CA (信任锚)，并隐式信任由该根CA或该根的任何下属CA签名的所有证书。

如果不能在终端实体和信任锚点之间构建链，那么检查end实体是否在显示其自身和信任锚点之间的所有证书。请参见RFC 5256第7.4.2节，特别是certificate_list；它声明所有证书(可选的根)都必须在TLS握手中显示。

另外，如果在AIA扩展中指定了证书的URL，Microsoft客户端可以下载丢失的从属CA证书。其他如Mozilla将不使用该扩展，理由是用户隐私是他们的理由。

请注意，如果您显式信任下属CA，则无法保证您的客户端将检查其证书的吊销。如果在将来某个时候下属被根CA破坏和撤销，那么您的客户很可能会继续信任它。它将是特定于实现的。