终结证书如何指中间证书

Question

据我所知，证书链是基于颁发机构的CA名称完成的。创建证书链的算法有可能首先读取证书的颁发方区域，得到CA的值。然后使用这些数据在信任存储区中搜索，它将读取所有证书的主题区域的CA值。如果存在匹配，则算法接受该证书作为链中的证书。

在这一点上，我想知道；如果有另一个证书的主题CA名称是相似的。以下是我的问题：

算法如何选择合适的算法？

除了发行人的CA名称外，是否有任何关于链中证书的引用？

简单地说，证书链是如何完成的？

提前谢谢。

Answer 1

链的建立是一个多步骤的过程，涉及到许多操作.

Subject和Issuer对仅用于在临时链中绑定证书。证书链接引擎尝试构建尽可能多的链。在构建了一组链之后，根据RFC 5280§6.1中描述的规则对所有链进行验证。在此过程中，将使用其他字段(Subject Key Identifier和Authority Key Identifier)和签名验证来执行更紧密的绑定。任何无效的链都会被删除。最后，证书链接引擎通过其状态获得单一的、最好的(及其他)链。

我有一篇博客文章描述了CCE的一般工作方式：证书链接引擎-它是如何工作的