为什么证书颁发机构(CA)要从中间机构而不是根机构颁发证书？ [英] Why does a Certificate Authority (CA) issue certificates from an intermediate authority instead of the root authority?

查看：45 发布时间：2022/2/24 22:08:41 ssl certificate ssl-certificate x509certificate ca

本文介绍了为什么证书颁发机构(CA)要从中间机构而不是根机构颁发证书？的处理方法，对大家解决问题具有一定的参考价值，需要的朋友们下面随着小编来一起学习吧！

当购买数字证书时，通过递归地跟随"由"授权机构发布的链进行验证，该链在根CA的证书处结束。

检查几个销售证书的公司的网站发现，他们的证书实际上是由同一公司的中间CA颁发的。叶证书和(可免费下载的)中间证书都必须安装在Web服务器上才能正常工作。

各种文档说明了在中间CA与根CA所在公司不同的情况下，此设置是如何工作的。但在这里，它们是为同一家公司服务的。

是否有人知道CA将从中间CA而不是其自己的根CA颁发证书的一些关键原因？我假设有各种管理场景可以帮助解决这种情况(例如，可以将中间证书设置为在根证书之前过期)，但在某种程度上，我猜测是这样的。

谢谢

这样做有几个原因。

根CA是信任层次结构中的顶级CA。当前的PKI(由RFC5280标准化)没有提供任何方法来撤销根CA证书。因此，根CA危害(如果根CA充当颁发CA，则更有可能)是一个非常严重的问题。
基于第1段，根CA非常敏感，它(至少应该)需要非常有限的访问权限的高安全级别。无法通过高负载请求流实现高安全性。
由于根CA为组织提供公共信任锚，并且每家公司可能需要不同级别的保证和安全，因此您将需要许多根CA，每个需要一个。

前面已经说过，跨平台(Windows、*NIX、Linux、Mac)的根CA维护没有那么简单，合理的做法是设置一个根CA，在单个根下设置多个中间CA。在这种情况下，每个中间CA将受到特定用法的限制(例如，一个用于SSL证书，一个用于代码签名证书，一个用于电子邮件，等等)。和策略。

在此方案中，如果颁发CA(中间CA)出现问题，CA所有者可以吊销受损的中间CA，而不必经历从客户端删除根CA的漫长而复杂的过程。

此外，中间CA进行了相对更改，以反映大多数现代PKI趋势。使用单根CA可以更轻松地实现新的中间CA，而不必经历将根CA添加到客户端的漫长而复杂的过程。

总结原因：更高的安全性和更好的可管理性。

这篇关于为什么证书颁发机构(CA)要从中间机构而不是根机构颁发证书？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！

查看全文