証明機関 (CA) の証明書は、CA が自身に対して発行する証明書か、2 つの CA 間に明確な関係を作成するために 2 番目の CA に対して発行する証明書です。
CA が自身に対して発行する証明書は、CA 階層の最終的な信頼のポイントを確立するという意図から、信頼されたルート証明書と呼ばれます。
信頼されたルートが確立されたら、このルートを使用して、このルートに代わって証明書を発行する下位の CA を承認できます。
CA 証明書は、2 つの異なる公開キー基盤 (PKI) 階層にある CA 間に信頼関係を確立する場合にも使用できます。
いずれの場合も、CA 証明書は、PKI で使用するために発行されるすべてのエンドエンティティ証明書に対して証明書パスと使用制限を定義する場合に不可欠です。
CA 証明書の構成が組織のニーズに合う適切なものであれば、組織にとって適切な PKI セキュリティを実装するための強力なツールとなります。CA 証明書には、その発行先である CA を制御する特別な構成データが含まれています。この構成オプションで、次の操作を行うことができます。
-
下位の CA によって発行される証明書を発行し、信頼できる組織の名前空間を定義する。
-
下位の CA によって発行される証明書の容認可能な用途を指定する。
-
下位の CA によって発行される証明書が有効と見なされるために従う必要がある発行上のガイドラインを定義する。
-
個々の証明階層の間に管理されている信頼を作成する。