当浏览器将其与连接到 https 服务器(Windows)时收到的证书进行比较时,浏览器会在哪些证书存储中查找受信任的证书?
最佳答案
您需要特定浏览器使用的受信任根存储中的根 CA 证书。以下是简单的 Google 搜索页面,可能会有所帮助:https://help.riseup.net/security/certificates/import/
浏览器不需要在这里查找服务器的证书。需要在此存储中安装的是签署服务器证书(或证书链)的根 CA 证书。
例如,如果服务器有证书S,并且S由“MY-ROOT-CA”签名,则需要将MY-ROOT-CA安装在受信任的根存储中。
如果服务器的证书 S 由中间 CA“SOME-CA”签名,并且 SOME-CA 由 MY-ROOT-CA 签名,则同样只需要在浏览器计算机上安装 MY-ROOT-CA受信任的根存储。
如果 S 是由 SOME-CA 签名的,那么 SOME-CA 可能还需要安装在浏览器计算机上的某个位置,但不一定安装在受信任的根存储中。在这种情况下,服务器可能同时发送 S 和 SOME-CA,甚至可能发送 MY-ROOT-CA。无论这条证书链有多长,链中的每个链接都必须由服务器发送,或者存在于本地计算机上,但始终必须安装最后一个 MY-ROOT-CA,并将其存储在特殊的受信任根存储中.
关于浏览器和证书存储,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4312904/