1 假设我们有一个企业拥有的内部CA.其证书受到所有浏览器中存在的受信任根之一的信任。 通过该CA,我们为组织中的服务器颁发了一堆证书 - 比如通过SSL的Webmail。 对于即将访问该Webmail服务器且其受信任的根证书存储中存在受信任的根的用户,它是否会自动信任该Webmail服务器证书,即使它未明确信任该业务CA证书? 我的理解是,中间证书继承了其签字人的信任,但想要确认。 ssl-certificate pki — Paul source
1 浏览器必须将证书链跟踪到其明确信任的CA证书之一。因此,如果链是RootCA(可信) - >中间体CA - > YourCert,浏览器必须具有中间CA证书才能验证链。 如果你正在使用Apache,你可以使用 SSLCertificateChainFile 让Web服务器将中间证书(您的内部CA)提供给浏览器的指令。然后一切正常。我确信所有其他主要Web服务器中都存在类似的机制。 — haimg source 是的,我理解必须提供链条,但我的问题是对中间人的明确信任。 Web服务器提供的证书本身不受信任,但由不受信任的CA签名,但CA证书由受信任的Root签名。我们信任Web服务器,因为它是由CA签署的,证书是由Root签名的?通过在我们的可信证书库中提供其证书,无需直接信任CA? — Paul @Paul:是的!这是中间证书的重点......不需要明确地信任它们,明确地信任它们的“父”根CA就足够了。 — haimg 稍等一下。什么是阻止我的CA为microsoft.com颁发证书,前提是我从我的网络服务器顶部带有一个受信任的根链? — Paul @Paul:没什么。有些人对PKI过分信任。但基本上“一些随机CA”并不比自签名证书更安全,信任方面。但是,当然,您不能仅仅从信誉良好的CA订购已签名的子CA,而无需确定如何使用它。 — haimg