下面提到的是我们的证书链。它们都工作正常,1.是否有任何特别的原因,我们应该考虑将全球根CA作为证书链的一部分?1.如何获得没有全球根的证书?我们可以通过数字证书从链中删除全球根吗?
在AWS中,我找到了此选项,您指的是此选项吗?它对应于根CA
z8dt9xmd1#
这些基本上是相同的链,只是后者还包括自签名根证书(相同的颁发者和主题:DigiCert全球根证书颁发机构)。当在Web服务器中配置证书时,不应该添加根证书。它将被客户端忽略,因此浪费带宽,并可能使TLS握手花费更多时间。相反,客户端需要在其本地信任存储区中拥有根证书。如果没有,则将其发送到客户端将没有帮助,因为验证证书时的信任链必须始终在本地信任存储区中结束,而绝不能在服务器发送的内容中结束。
1条答案
按热度按时间z8dt9xmd1#
这些基本上是相同的链,只是后者还包括自签名根证书(相同的颁发者和主题:DigiCert全球根证书颁发机构)。
当在Web服务器中配置证书时,不应该添加根证书。它将被客户端忽略,因此浪费带宽,并可能使TLS握手花费更多时间。
相反,客户端需要在其本地信任存储区中拥有根证书。如果没有,则将其发送到客户端将没有帮助,因为验证证书时的信任链必须始终在本地信任存储区中结束,而绝不能在服务器发送的内容中结束。