<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <div class="moz-cite-prefix">certs and keys and PKI, oh my! <br>

      <br>

      <br>

      On 07/12/2016 05:01 PM, Rob Funk wrote:<br>

    </div>

    <blockquote cite="mid:20160712210109.GA16875@funknet.net"

      type="cite">

      <pre wrap="">  openssl s_client -connect <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="http://www.hpc.mil:443">www.hpc.mil:443</a>

</pre>

    </blockquote>

    <br>

    Yet another handy incantation of '<font face="Courier New, Courier,

      monospace">openssl</font>'. Thanks Rob! Making a note of that one.

    <br>

    <br>

    <br>

    <blockquote cite="mid:20160712210109.GA16875@funknet.net"

      type="cite">

      <pre wrap="">Shows me this certificate chain:

 0 s:/C=US/O=U.S. Government/OU=DoD/OU=PKI/OU=OSD/CN=www.hpc.mil

   i:/C=US/O=U.S. Government/OU=DoD/OU=PKI/CN=DOD CA-28

 1 s:/C=US/O=U.S. Government/OU=DoD/OU=PKI/CN=DOD CA-28

   i:/C=US/O=U.S. Government/OU=DoD/OU=PKI/CN=DoD Root CA 2

 2 s:/C=US/O=U.S. Government/OU=DoD/OU=PKI/CN=DoD Root CA 2

   i:/C=US/O=U.S. Government/OU=DoD/OU=PKI/CN=DoD Root CA 2

That last one is self-signed. Most likely the people who use such

sites often are set up to accept it.</pre>

    </blockquote>

    <br>

    Quite. <br>

    Last one calls itself a "root". <br>

    Root PKI certs are always self signed. <br>

    Root PKI certs only work when they are pre-loaded into the trust

    store (e.g., of your browser). <br>

    <br>

    Have been doing a lot of customer hand-holding lately on exactly

    this issue. <br>

    <br>

    <br>

    <blockquote cite="mid:20160712210109.GA16875@funknet.net"

      type="cite">

      <pre wrap="">(When I look at it in Firefox I get an Unknown Issuer error.)</pre>

    </blockquote>

    <br>

    Which is exactly right. FF is simply saying that the final cert in

    that chain is not in its brain. <br>

    <br>

    This is all a matter of trust. <br>

    <br>

    PKI is a cathedral model. Dotmil sites do their own thing. (They

    don't outsource to Verisign or whomever. And they can mangle their

    own PCs on their own terms.) Same thing happens with big companies:

    server certs for internal sites may be issued by an internal CA. The

    root cert(s) for that internal CA must be pre-loaded into the

    Windoze trust thingy. (Which is what IE will use. FF and Chrome are

    more traditional, but your corporate IT people know how to fix those

    ... if they care.) The PKI model requires one or more "cathedrals"

    where you go for blessing. PGP/GPG is more lay-minister kind of

    thing. (We can bless each other, thank you very much. Or get blessed

    at the bazaar ... er, uh ... key signing party.) <br>

    <br>

    It's not rocket surgery, but it's also not common knowledge. Maybe a

    COLUG topic? <br>

    <br>

    -- R; &lt;&gt;&lt;<br>

    <br>

    <br>

    <br>

  </body>

</html>