假设我有 CA1 根证书和 CA1 颁发的两个中间 CA2 和 CA3 证书。如果所有中间证书都安装在根存储中,是否会带来任何安全问题?我想知道这个中间证书存储的目的是什么,什么时候应该使用它。我知道它是为了存储中间证书颁发机构而创建的,但是为什么专门创建它以及为什么我不能将所有证书保存在根存储中?
关于中间证书的 Windows 商店有一个类似的问题,但它并没有完全回答我的问题。相反,它侧重于为什么一般需要存储中间证书,以及是否存在真正需要的情况。就我而言,我知道存储中间证书是必要的,但我问为什么需要创建一个单独的“文件夹”来在 Windows 中存储中间证书,而可以将它们与根 CA 证书捆绑在一起。
如果所有中间证书都安装在根存储中,是否会带来任何安全问题?
是的。根 CA 很难撤销。这就是为什么中级 CA 的想法在几年前开始流行的原因。中间 CA 更容易撤销。
我想知道这个中间证书存储的目的是什么......
速度。它是 Windows 使用的缓存。
...我应该什么时候使用它。
你没有。它是自动的。
它完全是有组织的。你可以把你的证书放在你想要的任何地方。
也就是说,中间 CA 在 IT 基础架构中发挥作用,因为它们能够颁发证书,但可以仅限于为特定目的颁发。这允许组织使用单独的 ICA 不同的功能(开发、生产、客户......)
这样做的好处是根 CA 可以更少使用并保持在更安全的情况下,而不同的功能可以彼此独立运行,并且一个 ICA 的妥协不会影响其他功能。