Quand CertGetCertificateChain peut-il retourner plusieurs chaînes de certificats simples?

Question

Pourquoi CertGetCertificateChain peut-il retourner plusieurs chaînes simples? Quelles sont les chaînes simples et quel autre type de chaînes devrais-je attendre?

Sur un essai passant un certificat tel que le suivant ...

root 
    |- parent 
    |- my certificate 

... le résultat est une chaîne simple:

0. my certificate 
1. parent 
2. root 

Dans ce cas, nous verrons plus une simple chaîne retournée?

Answer 1

Plusieurs chaînes peuvent apparaître lorsqu'il existe plusieurs chemins entre un certificat à une seule feuille et plusieurs certificats d'autorité de certification.

Cela se produit dans deux (grands) cas:

1. deux ou plusieurs certificats de CA partagent le même sujet et la clé publique. Cela se produit lorsque le certificat CA est renouvelé avec la même paire de clés. Cela se traduira par deux certificats très similaires qui peuvent être utilisés comme un noeud dans le bâtiment du chemin de certification. Ils sont différents, mais les deux (puisque Subject et la clé publique sont partagés) peuvent être utilisés pour valider la signature du certificat émis.

2. lorsque la certification croisée est utilisée pour fournir des chemins supplémentaires à (éventuellement) un certificat racine différent. Litreally le même que ci-dessus, à l'exception que cette option est utilisée pour fournir des routes à différentes racines CA.

La chaîne de certificat unique est un chemin unique à partir d'une collection de tous les chemins possibles.