SSL復号化クライアントでルートCA証明書が必要なのはなぜですか?
多分簡単な質問です。内部ルートCAによって発行されたサブCA証明書を使用してSSL復号化を実行するPalo Altoがあります。ルートCAおよびサブCAはグループポリシーを介してそれらすべてにプッシュダウンされるため、これは内部Windowsドメインコンピューターで機能します。私の質問は、GPOが機能しないMacユーザーが何人かいるため、手動で証明書を追加する必要があるためです。
私の質問は、Palo AltoにインストールされたsubCA(サイトの動的SSL生成を行う)がこれらのMacにもインストールされている場合です。ブラウザーで信頼できない接続が検出されているのはなぜですか? 「この証明書は信頼できる認証局まで検証できない」と不満を漏らしています。
ルートCA証明書を追加でインストールしても、エラーは発生しなくなりました。やったー!
しかし、私の質問は、サブCA(Palo Alto上の)が明示的な証明書(bankofamerica.comなど)を生成したものである場合、クライアントがルートCAを必要とする理由です。
その理由は、ほとんどの証明書ストアは、自身で署名されたCA証明書のみをルート証明書として扱うためです。 SubCA証明書は、ほとんどの場合、「中間証明書発行者」と呼ばれるストアに追加されます。このストアは証明書に信頼を追加しません。サーバーが独自の証明書のみを送信し、ルートにリンクする中間証明書を送信しない場合のコンピューターへの信頼としてのみです。
(誤って構成されたサーバーは、(A)-(B)-(C)の証明書(A)のみを送信する場合があります。(C)がルートストアにある場合、コンピューターはチェーンを完了できず、(A)で不平を言うでしょうしたがって、(B)は信頼されない中間ストアに追加されますが、(A)と(C)の間のリンクが追加され、(A)が信頼されます。(B)を自動的に信頼することが安全でない理由は、 (C)が取り消される可能性があり、リンクされた証明書も取り消す必要があります)
「中間証明書発行者」内の証明書はすべて、信頼できるルートストア内の証明書にチェーンされる必要があります。
ただし、ほとんどの証明書ストアでは、証明書が単独で署名されていなくても、ルートストアに証明書を手動で挿入できるはずです。証明書を手動でインストールするチェックボックスをオンにする必要がある場合もあれば、ボタンを使用して手動でストアをさまよい、証明書を追加する必要がある場合もあります。