Сертификат корневого ЦС обычно устанавливается на противоположном конце TLS-подключения к сертификатам в файле PKCS#12 (PFX).
Если файл PKCS#12 содержит сертификат проверки подлинности клиента вместе с его закрытым ключом и сертификатом центра сертификации, который его выдал (и, возможно, другие промежуточные сертификаты центра сертификации), цепочка устанавливается на ваше устройство и используется для вашей аутентификации на удаленном сервере. На этом сервере должен быть установлен корневой ЦС в хранилище привязки доверия, если он доверяет этому корневому ЦС, который он использует для проверки сертификатов из PKCS#12, представленных клиентом.
Точно так же, если файл PKCS#12 содержит сертификат аутентификации сервера вместе с его закрытым ключом и сертификатом CA, который его выдал (и, возможно, другие промежуточные сертификаты CA), тогда цепочка устанавливается на вашем сервере и используется для аутентификации на вашем сервере. устройство. На вашем устройстве должен быть установлен корневой ЦС в хранилище привязки доверия, если вы доверяете этому корневому ЦС, который он использует для проверки сертификатов из PKCS#12, представленных сервером.
Говоря это, PKCS # 12 — это просто контейнер, поэтому разрешены другие комбинации сертификатов и ключей, но выше приведены два наиболее распространенных варианта использования.
Если вы устанавливаете все сертификаты в PKCS#12, это не означает, что вы доверяете каким-либо корневым сертификатам CA внутри. Кому/чему вы доверяете, не является двусторонним - это ваш выбор. Вы должны явно сделать этот выбор для обеспечения целостности системы.
Например, если вы устанавливаете PKCS#12 в свой браузер Firefox, чтобы вы могли войти на веб-сайт, нет смысла автоматически устанавливать какие-либо корневые центры сертификации в PKCS#12 в хранилище привязок доверия Firefox. Вы можете не доверять этому корневому ЦС для проверки веб-серверов, а только для проверки клиентов. То есть не разработчики Firefox должны решать, каким корневым центрам сертификации вы доверяете.
Точно так же, если вы устанавливаете PKCS#12 на сервере Windows, он может предоставлять эти сертификаты любым клиентам, которые подключаются к нему, и эти клиенты (если у них установлен корневой сертификат ЦС в их хранилище привязок доверия) будут доверять серверу. Однако это не означает автоматически, что вы хотите доверять другим сертификатам, предоставленным вашему серверу из этого корневого центра сертификации, таким как сертификаты проверки подлинности клиента.
Суть в том, что вам решать, чему доверять.
