Dlaczego wymagane są pośrednie urzędy certyfikacji? Kiedy zastosować certyfikat pośredni?
Czasami, aby chronić klucz prywatny głównego urzędu certyfikacji, jest on przechowywany w bardzo bezpiecznej lokalizacji i służy jedynie do podpisywania kilku certyfikatów pośrednich, które są następnie wykorzystywane do wydawania certyfikatów jednostek końcowych. W przypadku kompromisu produkty pośrednie można szybko odwołać bez konieczności ponownej konfiguracji każdej maszyny, aby zaufać nowemu urzędowi certyfikacji.
Innym możliwym powodem jest delegowanie uprawnień: na przykład takie firmy jak Google, które często używają wielu certyfikatów dla własnych sieci, będą miały własne pośrednie urzędy certyfikacji.
Jak zweryfikować łańcuch od certyfikatu pośredniego do certyfikatu głównego?
Zwykle jednostka końcowa (na przykład serwer WWW SSL / TLS) zapewnia cały łańcuch certyfikatów, a wszystko, co musisz zrobić, to zweryfikować podpisy.
Ostatnim w tym łańcuchu jest certyfikat główny, który już oznaczyłeś jako zaufany.
Na przykład, jeśli masz łańcuch [użytkownik] → [pośrednik-1] → [pośrednik-2] → [root] , weryfikacja wygląda następująco:
Czy [użytkownik] ma [pośrednika-1] jako „Wystawcę”?
Czy [użytkownik] ma ważny podpis przy użyciu klucza [pośrednika-1] ?
Czy [intermed-1] ma [intermed-2] jako „emitenta”?
Czy [intermed-1] ma ważny podpis przy pomocy klucza [intermed-2] ?
Czy [intermed-2] ma [root] jako „Emitenta”?
Czy [intermed-2] ma prawidłowy podpis przy użyciu klucza [root] ?
Skoro [root] znajduje się na dole łańcucha i ma swoją nazwę „Emitent”, czy jest oznaczony jako zaufany?
Cały proces jest dokładnie taki sam; istnienie i liczba pośrednich urzędów certyfikacji nie ma znaczenia. Certyfikat użytkownika może być podpisany bezpośrednio przez użytkownika root i zostanie zweryfikowany w ten sam sposób.
Jakie są przykłady certyfikatów pośrednich, które prowadzą do certyfikatów głównych?
Zobacz informacje o certyfikacie https://twitter.com/ lub https://www.facebook.com/ dla łańcuchów zawierających trzy lub cztery certyfikaty. Zobacz także https://www.google.com/ przykład własnego urzędu certyfikacji Google.