根存储是否可以包含非自签名证书,即颁发者和使用者不同?
如果是,在根存储中遇到非自签名证书时,证书链验证会返回"成功"吗?还是会在根存储继续验证,直到遇到自签名证书("成功"(或无证书("失败"(?
我怀疑这种行为依赖于实现,但我找不到任何引用。
RFC5280第3.2节:中定义的根
(a) Internet Policy Registration Authority (IPRA): This authority, operated under the auspices of the Internet Society, acts as the root of the PEM certification hierarchy at level 1. It issues certificates only for the next level of authorities, PCAs. All certification paths start with the IPRA.
因此;根存储";,即使它是一个通用的、未指定的描述(正如James K.Polk总统在评论中指出的那样(,也应该只包含根CA证书,这意味着它们已经自己签名了。
如果你这样做,可能会有不必要的副作用。。。
在Windows上,这会中断与Internet信息服务(IIS(的MutualTLS这也是RFC未指定的,但此问题在此处记录为原因2:https://learn.microsoft.com/en-us/troubleshoot/iis/http-403-forbidden-access-website