信任库是否需要子 ca 证书？

Question

我正在尝试设置分层 PKI。 我是否可以创建仅包含根 ca 证书的信任库，这是否意味着我的应用程序信任由子 ca 证书签名的证书，而子 ca 证书又由根 ca 签名？

顺便说一句，您似乎必须提供整个证书链，包括根 ca 证书。 当然，如果根 ca 受信任，则不需要发送证书吗？ 我们只想检查下一个证书是否由它签名。

Answer 1

信任存储应仅包含根 CA，而不包含中间 CA。

身份存储应包含私钥，每个私钥与其证书链相关联（根除外）。

很多很多应用程序都配置错误，当尝试识别自己的身份时（例如，服务器使用 SSL 进行自身身份验证），它们只发送自己的证书，而缺少中间体。 错误地将根作为链的一部分发送的情况较少，但这危害较小。 大多数证书路径构建器只会忽略它，并从受信任的密钥存储中找到根路径。

原问题中的假设是正确的。