Più radici vengono create quando
Questo vale per ogni certificato nella gerarchia CA.
Solo per rendere le cose più interessanti, la lista di revoche stessa (CRL / OCSP) è firmata e potrebbe avere la propria PKI. Potrebbero anche avere il proprio set di chiavi. (Per verificare il verificatore?)
In altre parole,
- Le catene scoperte durante la verifica delle risposte CRL, Deltas e OCSP contano anche verso una radice CA rilevata. (nota che la verifica OCSP può essere soppressa tramite
id-pkix-ocsp-nocheck
)
L'architettura CA ha un effetto sul processo di creazione della catena. Prima che una catena di certificati distinta sia considerata valida, il motore di concatenamento crea tutte le catene che sono possibili con il certificato che si sta verificando. Se un certificato di entità finale è stato generato da una CA appena configurata, la catena di certificati è semplice. Tuttavia, un certificato emesso da una CA rinnovata o in cui esiste una certificazione incrociata tra la CA di emissione e un'altra CA, potrebbero esistere più catene di certificati.
L'intero grafo delle catene di certificati è costruito e quindi ordinato dalla "qualità" della catena. La catena di qualità migliore per un determinato certificato finale viene restituita all'applicazione chiamante come catena predefinita.
Di seguito sono illustrate le procedure di convalida in una PKI Single, N-Tier, Cross e Bridge
CA singola
Nlivello
CA Cross Trust
CABridge
Maggiori informazioni su La topologia PKI e i rinnovi dei certificati sono in fondo a questo articolo