web-dev-qa-db-ja.com

Windowsの中間証明機関ストアの目的は何ですか?

CA1ルート証明書と、CA1によって発行された2つの中間CA2およびCA3証明書があるとします。すべての中間証明書がルートストアにインストールされている場合、セキュリティ上の問題が発生しますか?この中間証明書ストアの目的は何か、いつ使用する必要があるのか​​知りたいのですが。中間認証局を格納するために作成されたと理解していますが、それが特別に作成された理由、およびすべての証明書をルートストアに保持できない理由はありますか?

certmgr

中間証明書のWindowsストアについても同様の 質問 がありますが、私の質問には完全には答えていません。代わりに、一般的に中間証明書を保存する必要がある理由に焦点を当てており、本当に必要な場合があります。私の場合、中間証明書の保存が必要であることを理解していますが、ルート証明書をルートCA証明書と一緒にバンドルするだけでよいのに、中間証明書をWindowsに保存するための別個の「フォルダー」を作成する必要がある理由を尋ねています。

7
username

すべての中間証明書がルートストアにインストールされている場合、セキュリティ上の問題が発生しますか?

はい。ルートCAは取り消すのが面倒です。そのため、中間CAのアイデアが数年前に人気を博しました。中間CAは取り消しがはるかに簡単です。

この中間証明書ストアの目的は何ですか?.

速度。これはWindowsが使用するキャッシュです。

...そしていつそれを使うべきか.

あなたはしません。自動です。

4
StackzOfZtuff

それは完全に組織的です。証明書はどこにでも配置できます。

とは言っても、中間CAは証明書を発行できるため、ITインフラストラクチャで役割を果たしますが、特定の目的での発行に限定することができます。これにより、組織はICAの異なる機能(開発、本番、クライアントなど)を使用できます。

これの利点は、ルートCAの使用を減らし、より安全な状態に保つことができる一方で、さまざまな機能が互いに独立して動作でき、1つのICAの妥協が他の機能に影響を与えないことです。

3
ztk