当购买数字证书时,通过递归地遵循以“颁发者”链接的方式来验证,该链接以根CA的证书结束。
对销售证书的公司的一些网站进行检查表明,他们的证书实际上是由同一公司的中间CA签发的。叶证书和(可免费下载的)中间证书必须都安装在Web服务器上才能工作。
各种文档说明了此设置如何在中间CA与根CA不同的公司中起作用。但在这里他们是同一家公司。
有人知道CA会从中间CA而不是自己的根CA颁发证书的一些关键原因吗?我认为这种情况有助于各种管理方案(例如,中间证书可以设置为在根证书之前到期)但在某种程度上我猜这里。
由于
答案 0 :(得分:4)
有几个原因可以做到。
已经说过平台上的根CA维护(Windows,* nix,Linux,Mac)并不那么简单,建立单个根CA并在单根下设置多个中间CA是合理的。在这种情况下,每个中间CA都将受到特定用途的限制(例如,一个用于SSL证书,一个用于代码签名证书,一个用于电子邮件等)和策略。
在这种情况下,如果发布CA(中间)出现问题,CA所有者可以撤销受损的中间CA,而无需经历从客户端删除根CA的冗长而复杂的过程。
此外,中间CA相对更改以反映大多数现代PKI趋势。使用单根CA,可以更轻松地实现新的中间CA,而无需经历将根CA添加到客户端的漫长而复杂的过程。
总结原因:更高的安全性和更好的可管理性。