我有一个SSL证书,由中间CA签名,然后中间CA证书由根CA签名。我需要将这些证书导入我的信任库以访问此服务。
我的问题是 - 导入这些证书需要遵循的任何特定顺序。
例如,首先导入SSL证书,然后导入中间CA证书,然后导入根CA证书
或者我可以按任何顺序导入证书,并确信它可以正常工作。
问题的第二部分 - 当PKIX路径构建发生时,它关心信任库中证书的存在顺序。
不,信任库中的证书顺序无关紧要。
当验证服务器提供的认证链时,客户端在信任库中搜索匹配,从最终证书开始到根。使用上层证书的公钥验证每个证书,直到找到与信任库的匹配。证书本身存在或其直接上级时存在匹配(证书已由上层证书进行数字签名)。
因此,订单无关紧要,因为链中每个证书的数字签名将被验证