购买数字证书时,通过递归地跟随以根CA的证书结尾的“颁发者”权限链进行验证。为什么证书颁发机构(CA)从中间颁发机构颁发证书而不是根颁发机构颁发证书?
对销售证书的公司的几个网站的检查显示,他们的证书实际上是由同一家公司的中间CA签发的。叶证书和(可免费下载的)中间证书必须都安装在Web服务器上才能工作。
各种文档解释了这种设置如何工作,其中中间CA与根CA是不同的公司。但在这里他们是为同一家公司工作的。
有谁知道CA会从中间CA而不是自己的根CA颁发证书的一些关键原因?我认为有这种情况有助于各种管理方案(例如,中间证书可以设置为在根证书之前过期),但在某种程度上我在这里猜测。
谢谢
感谢这些评论:正是我所期待的,帮我做的事情我以前没有想过之间的一些额外的连接。我不知道缺乏撤销根CA的一种手段,但我想它想通过证书吊销列表下一级* *下来这样就需要在相同的东西不同的机制适用于证书(顶层。 – westwell 2014-10-31 00:04:22
是的。 RFC没有定义这样的机制(甚至不给任何的想法),他们特别注意有关根CA的sensivity – Crypt32 2014-10-31 06:14:33