Why are intermediate certificate authorities required? When would an intermediate certificate be used?
Às vezes, para proteger a chave privada da CA raiz, ela é armazenada em um local muito seguro e usada apenas para assinar alguns certificados intermediários, que são usados para emitir certificados de entidade final. Em caso de comprometimento, os intermediários podem ser revogados rapidamente, sem precisar reconfigurar cada máquina para confiar em uma nova CA.
Outro motivo possível é a delegação: por exemplo, empresas como o Google, que costumam usar muitos certificados para suas próprias redes, terão uma CA intermediária.
How do I verify the chain from the intermediate certificate to the root certificate?
Geralmente, a entidade final (por exemplo, um servidor da Web SSL / TLS) fornece a cadeia inteira de certificados e tudo o que você precisa fazer é verificar as assinaturas.
O último da cadeia é o certificado raiz, que você já marcou como confiável.
Por exemplo, quando você tem uma cadeia [usuário] → [intermed-1] → [intermed-2] → [root]
O [usuário] tem [intermed-1] como "Emissor"? O [usuário] tem uma assinatura válida pela chave [intermed-1] ? [intermed-1] tem [intermed-2] como seu "Emissor"? O [intermed-1] tem uma assinatura válida pela chave [intermed-2] ? O [intermed-2] tem [root] como seu "Emitente"? O [intermed-2] tem uma assinatura válida pela chave [root] ? Como [root] está na parte inferior da cadeia e tem como "Emissor", ele está marcado como confiável? O processo é exatamente o mesmo o tempo todo; a existência e a contagem de CAs intermediárias não importam. O certificado do usuário pode ser assinado pela raiz diretamente e será verificado da mesma maneira. What are examples of intermediate certificates that link to root certificates? Veja as informações de certificado do link ou link para cadeias contendo três ou quatro certificados. Consulte também o link para obter um exemplo da autoridade de certificação do Google.