为什么我的证书无效，除非我将子CA证书放在受信任的根证书颁发机构中？ [英] Why is my certificate not valid unless I put the Sub CA certificate in the trusted root certificate authorities?

问题描述

我有从子CA颁发给我的证书，证书路径如下：

Root CA
   Sub CA
      My Certificate

为什么当我尝试使用X509Chain.Build()验证它时，我总是需要将Sub CA放在受信任的根证书颁发机构文件夹中，以便它返回TRUE？我已经在那里有根CA证书，所以既然我信任根，作为一个信任网络，它是否也应该信任子CA？因为现在，它说它无法构建到受信任根证书颁发机构的链，除非我将子CA证书添加到受信任的根证书颁发机构。

推荐答案

要详细说明Erik的评论，信任根CA证书意味着您将信任根CA直接签署的内容。

如果中间有一个中间子CA，则其证书由根CA签名，子CA直接为您的证书签名。

Root CA ---signs/verifies---> Sub CA ---signs/verifies---> End user certificate

正如Erik所说，如果您没有子CA证书，则无法将根CA链接到最终用户证书。根可以验证子CA证书，子CA可以验证最终用户证书，但根无法跳过子CA并验证最终用户证书，因为根没有签署最终用户证书。

解决此问题的两种方法是：

• 将子CA证书包括在您的受信任证书中或
确保子CA证书包含在最终用户证书中，以使链 可以建立。

这篇关于为什么我的证书无效，除非我将子CA证书放在受信任的根证书颁发机构中？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！