I certificati di un'Autorità di certificazione (CA) sono rilasciati da una CA a se stessa o a una seconda CA allo scopo di creare una relazione definita tra le due CA.
Un certificato che viene rilasciato da una CA a se stessa è definito un certificato radice attendibile, perché ha lo scopo di stabilire un punto di attendibilità finale per una gerarchia di CA.
Una volta definita, la radice attendibile può essere utilizzata per autorizzare CA subordinate al rilascio di certificati per suo conto.
I certificati CA possono inoltre essere utilizzati per stabilire relazioni di trust tra CA in due diverse gerarchie di infrastruttura a chiave pubblica (PKI).
In tutti questi casi, il certificato CA è fondamentale per poter definire il percorso e le restrizioni relative all'utilizzo di tutti i certificati finali rilasciati per l'utilizzo nella PKI.
La corretta configurazione dei certificati CA in base alle esigenze dell'organizzazione è uno degli strumenti più potenti a disposizione di un'organizzazione per l'implementazione di una sicurezza PKI adeguata. I certificati CA contengono speciali dati di configurazione che regolano le CA per le quali sono rilasciati. Queste opzioni di configurazione possono:
-
Definire lo spazio dei nomi organizzativo nel quale i certificati rilasciati dalla CA subordinata possono essere rilasciati e considerati attendibili.
-
Specificare gli utilizzi accettabili dei certificati rilasciati dalla CA subordinata.
-
Definire le linee guida di rilascio che devono essere seguite affinché un certificato rilasciato dalla CA subordinata sia considerato valido.
-
Creare un'attendibilità gestita tra gerarchie di certificazione separate