信任库是否需要 sub-ca 证书？

Question

我正在尝试设置分层 PKI。我可以创建一个仅包含根 ca 证书的信任库，这是否意味着我的应用程序信任由子 ca 证书签名的证书，而子证书又由根 ca 签名？

顺便说一句，您似乎必须提供整个证书链，包括根 ca 证书。当然，如果根 ca 受信任，则不需要发送证书？我们只想检查下一个证书是否由它签名。

Answer 1

信任存储应该只包含根 CA，而不是中间 CA。

身份存储应包含私钥，每个都与其证书链相关联，根除外。

很多很多应用程序都配置错误，并且在尝试识别自己时（例如，使用 SSL 进行身份验证的服务器），它们只发送自己的证书，并且缺少中间体。错误地将根作为链的一部分发送的情况较少，但这危害较小。大多数证书路径构建者会忽略它，并从其受信任的密钥库中找到根路径。

原问题中的假设是正确的。