从前面证书链校验可以看到,浏览器校验服务器身份时,需要校验整个信任链,中间证书和服务器证书。中间证书是可以签发服务器证书的,之所以要多出这样一个中间证书,而不是由CA机构直接签发,原因是权威的CA机构数量并不多,如果所有的服务器实体证书都交由权威CA机构签发,当然可以,可是这样CA机构的工作量将非常大,所以CA机构采取授权二级CA机构的方式,让有授权的中间证书(也就是二级CA机构)也可以签发服务器证书,当然校验服务器证书的时候也要校验中间证书,一级一级往上。权威CA机构(即根证书)的授权委派二级机构方式有两种,委派认证和交叉认证。
委派认证
事实上,一般情况下权威的CA机构都不会直接签发服务器证书,原因除了上面说的工作量大外,还有,CA机构数量不多,且分布在世界各地,例如中国北京的天威诚信,外国的比较知名的Comodo,GeoTrust和Symantec等,假如一家中国的企业直接向国外的CA机构申请证书,那么一系列提交审核,政策等原因,可能会较繁琐。解决这种问题,国外的权威CA机构可以选择在中国授权委派一个代理商,让这个在中国的代理商负责签发中国企业或机构发来的证书申请文件。这就是委派认证,CA机构需要先向二级机构前发一张委派证书,表示认证该机构,之后该二级机构就可以行使同样的服务器证书签发权力。
二级证书(二级CA机构)还有一个好处就