Как IE/Chrome знает который Промежуточное звено CA использовать если не часть цепочки?
Установка php5-cli
apt-get install php5-cli
Тест php5-imagick:
php /usr/share/doc/php5-imagick/examples/polygon.php > ~/polygon.png
Сертификаты ЦС загружаются на основе информации URL в расширении доступа к информации о полномочиях (AIA) выпущенных сертификатов.
Firefox, насколько я слышал, использует собственное хранилище сертификатов и / или цепочку двигатель. Chrome и IE используют его в Windows.
Процесс проверки сертификата
Когда сертификат предоставляется приложению, приложение должно использовать механизм цепочки сертификатов для определения действительности сертификата. Только после успешной проверки цепочки сертификатов приложение может доверять сертификату и идентификатору, представленному сертификатом. Для определения действительности сертификата используются три различных, но взаимосвязанных процесса:
■ Обнаружение сертификата Для построения цепочек сертификатов, механизм цепочки сертификатов должен собирать сертификат ЦС, выдающий сертификат, и все сертификаты ЦС, вплоть до сертификата корневого ЦС. Сертификаты CA собираются из кеша CryptoAPI, групповой политики или корпоративной политики или, в крайнем случае, загружаются из унифицированных указателей ресурсов (URL-адресов) доступа к авторитетной информации (AIA) в выпущенных сертификатах. После загрузки сертификата из места, отличного от кэша CryptoAPI, он добавляется в кэш CryptoAPI пользователя для более быстрого извлечения.
■ Проверка пути Когда механизм цепочки сертификатов проверяет сертификат, он делает это загружается из унифицированных указателей ресурсов (URL) доступа к информации о полномочиях (AIA) в выданных сертификатах. После загрузки сертификата из места, отличного от кеша CryptoAPI, он добавляется в кэш CryptoAPI пользователя для более быстрого извлечения.
■ Проверка пути Когда механизм цепочки сертификатов проверяет сертификат, он делает это загружается из унифицированных указателей ресурсов (URL) доступа к информации о полномочиях (AIA) в выданных сертификатах. После загрузки сертификата из места, отличного от кэша CryptoAPI, он добавляется в кэш CryptoAPI пользователя для более быстрого извлечения.
■ Проверка пути Когда механизм цепочки сертификатов проверяет сертификат, он делает это не останавливайтесь на предъявленном сертификате. Каждый сертификат в цепочке сертификатов должен быть проверяется до получения самозаверяющего корневого сертификата. Проверочные тесты могут включать проверка подписей Authenticode, определение того, является ли сертификат CA выдачи включены в хранилище NTAuth, или включение определенных идентификаторов объектов политики приложений или сертификатов (OID). Если один сертификат не прошел проверку на достоверность, вполне возможно, что вся цепочка будет признана недействительной и не будет использоваться вызывающим приложением.
Это действительно другое хранилище сертификатов. Промежуточные звенья необходимы только в приложениях, в которых эти сертификаты еще не встроены. ЦС эмитента включен в каждый сертификат. Вопрос только в том, доверяют ли этому сертификату эмитента. Добавление промежуточных звеньев помогает программному обеспечению с меньшим набором доверенных сертификатов, установленным по умолчанию. .