憑證授權管理單位 (CA) 憑證是由 CA 發行給自己或第二個 CA 的憑證,目的為建立兩個 CA 之間的定義關係。
由 CA 發行給自己的憑證稱為信任的根憑證,因為它旨在建立適用於 CA 階層的最終信任點。
一旦建立信任的根憑證,便可用它來授權次級 CA 代表它來發行憑證。
CA 憑證也可用來在兩個不同公開金鑰基礎結構 (PKI) 中,建立 CA 間的信任關係。
在這些所有情況中,CA 憑證在定義發行所有用於 PKI 之終端實體憑證的憑證路徑及用法限制時,佔有非常重要的角色。
針對組織需求適當設定 CA 憑證,是組織用以執行適當 PKI 安全性的最有力工具之一。CA 憑證包含規範發行此憑證之 CA 的特殊設定資料。這些設定選項可以:
-
定義組織命名空間,該組織可發行及信任次級 CA 所發行的憑證。
-
指定由次級 CA 所發行之憑證的可接受用法。
-
定義要遵循的發行指導方針,以便讓次級 CA 所發行的憑證被視為有效。
-
建立不同憑證階層之間受管理的信任。