PKI -为什么根CA在中间CA部分？

Question

我不明白为什么当我接受在IE浏览器上“安装”自签名的根CA时，根证书结束在“中间CA”部分，而不是在浏览器证书容器中的"Root CA“部分(在Windows证书管理器中，两者可能是相同的)。

仅在根CA部分显示受信任的CA列表是Microsoft策略吗？而不允许在本节中插入“未知”根CA？

在使用它的时候，我看不出有什么不同，但必须有一个解释。

Answer 1

这些问题经常导致不正确的证书使用参数。显然，您需要有CA:TRUE，但是其他关键使用参数也需要是正确的。如果证书使用参数不正确，则windows将此证书自动检测为中间CA。

如果证书的签字人和主体之间存在最小的取消(因此它不再是真正的正统的“自签名”)，那么它将被视为一个中间证书。

您可以将其安装为中间证书。然后在证书路径中检查windows是否认为该证书是由另一个CA签名的。如果windows将证书错误地检测为中间证书，则应该会看到一个顶部证书，该证书的X位于证书的上方，因为windows不知道该证书。

如果仍然希望将其安装为真正的根证书，则可以手动重写证书位置，方法是取消选中“让窗口为该证书选择合适的存储区”，然后手动选择“根CA”。