证书颁发机构 (CA) 证书是由 CA 颁发给自己或另一个 CA 的证书,目的是建立两个 CA 之间已定义的关系。
CA 给自己颁发的证书称为受信任的根证书,因为它是建立 CA 层次结构的基本信任点。
一旦建立受信任的根证书,就可以使用它授权从属 CA 代表它自己颁发证书。
也可以使用 CA 证书建立处于两种不同公钥基础结构 (PKI) 层次结构中的 CA 之间的信任关系。
对于为在 PKI 中使用而颁发的所有最终实体证书定义证书路径和使用限制,CA 证书在所有情况下都至关重要。
根据组织需要适当配置 CA 证书是组织实现适当的 PKI 安全性的最强大的工具之一。CA 证书包含控制向其发布证书的 CA 的特殊配置数据。这些配置选项可以:
-
定义可以颁发和信任由从属 CA 所颁发的证书的组织命名空间。
-
指定由从属 CA 所颁发的证书的可接受用法。
-
定义为了使从属 CA 颁发的证书有效所必须遵守的颁发准则。
-
在不同的证书层次结构之间创建受管理的信任关系。