假设我们有一个企业拥有的内部 CA。其证书受到所有浏览器中存在的受信任根之一的信任。
通过该 CA,我们可以为组织中的服务器颁发一堆证书 - 例如通过 SSL 的网络邮件证书。
对于访问该 Web 邮件服务器的用户,如果其受信任的根证书存储中存在受信任的根,它是否会自动信任 Web 邮件服务器证书,即使它没有明确信任企业 CA 证书?
我的理解是,中间证书继承了其签名者的信任,但想要确认。
答案1
浏览器必须将证书链追溯到它明确信任的 CA 证书之一。因此,如果证书链为 RootCA(受信任)-> IntermediateCA -> YourCert,则浏览器必须拥有中间 CA 证书才能验证证书链。
如果你使用 Apache,你可以使用SSL证书链文件指令让 Web 服务器向浏览器提供中间证书(您的内部 CA)。然后一切就都正常了。我相信所有其他主要 Web 服务器中都存在类似的机制。