购买数字证书时,会通过递归跟踪“发行者”机构的链来验证它,直到达到根CA的证书。一些销售证书的公司网站检查显示,它们的证书实际上是由同一公司的中间CA颁发的。为使其正常工作,必须在Web服务器上安装叶证书和(可免费下载)中间证书。有各种文档解释了中间CA是与根CA不同的公司的情况下的设置方式。但这里它们是同一家公司的情况。是否有人知道CA会颁发中间CA而不是自己的根CA的主要原因?我认为有各种管理场景可以从这种情况中受益(例如,中间证书可以在根证书之前过期),但在某种程度上我在猜测。谢谢
已经说过,在Windows、*nix、Linux和Mac等平台上维护根CA并不那么简单,因此建议设置单个根CA,并在单个根下设置多个中间CA。在这种情况下,每个中间CA将受到特定用途(例如,一个用于SSL证书,一个用于代码签名证书,一个用于电子邮件等)和策略的限制。
在这种情况下,如果颁发CA(即中间CA)出现问题,CA所有者可以撤销受损的中间CA,而无需经过将根CA从客户端删除的漫长和复杂的过程。
此外,中间CA相对较易反映出最现代的PKI趋势。使用单个根CA更容易实现新的中间CA,而无需经过将根CA添加到客户端的漫长和复杂的过程。
总之,这样做的原因是提高安全性和更好的可管理性。