CA運作模式-認證與過期吊銷

從前面證書鏈校驗可以看到，瀏覽器校驗服務器身份時，需要校驗整個信任鏈，中間證書和服務器證書。中間證書是可以簽發服務器證書的，之所以要多出這樣一箇中間證書，而不是由CA機構直接簽發，原因是權威的CA機構數量並不多，如果所有的服務器實體證書都交由權威CA機構簽發，當然可以，可是這樣CA機構的工作量將非常大，所以CA機構採取授權二級CA機構的方式，讓有授權的中間證書（也就是二級CA機構）也可以簽發服務器

>>阅读原文<<