Los certificados de entidad de certificación (CA) son los certificados emitidos por una CA para sí misma o para una segunda CA con el fin de crear una relación definida entre las dos CA.
El certificado emitido por una CA para sí misma se llama certificado raíz de confianza porque se usa para establecer un punto de confianza definitivo para una jerarquía de CA.
Una vez establecida la raíz de confianza, se puede usar para autorizar las CA subordinas para que emitan certificados en su nombre.
Los certificados de CA también se pueden usar para establecer relaciones de confianza entre CA en dos jerarquías de infraestructura de clave pública (PKI) distintas.
En todos estos casos, el certificado de CA es fundamental para definir la ruta de acceso al certificado y las restricciones de uso para todos los certificados de entidad final emitidos para su uso en la PKI.
La configuración correcta de certificados de CA para satisfacer las necesidades de la organización es una de las herramientas más eficaces que la organización tiene para implementar la seguridad de PKI adecuada. Los certificados de CA contienen datos de configuración especiales que regulan las CA para las que se emiten. Estas opciones de configuración pueden:
-
Definir el espacio de nombres de la organización en que se puede establecer la confianza y emitir los certificados de la CA subordinada.
-
Especificar los usos admisibles de los certificados emitidos por una CA subordinada.
-
Definir las instrucciones de emisión que se deben seguir para considerar válido un certificado emitido por la CA subordinada.
-
Crear una confianza administrada entre jerarquías de certificación independientes.