目前,我有2个私有CA,一个根CA和一个从属CA。下级CA的CSR由根CA签署。我们有一些应用程序将使用下级CA进行相互TLS身份验证。
问题:我已经有由根CA签署的证书,可以与下级CA结合使用吗?还是我必须创建由下级CA签名的新证书才能使其正常工作?
答案 0 :(得分:0)
由根CA签名的证书是受信任的。这是PKI的本质。如果将RootCA的证书放入CA存储,则由该证书签名的所有证书都将有效。还是...
通常,用根签名最终用户证书是不明智的。它是一个持久的证书,是整个基础架构的基石。在您的位置,我将考虑统一PKI并使用中间CA重新颁发最终用户和服务器的证书。