中間認証局は必要?
なぜ中間認証局があるのか?
ルート認証局(Root CA)が証明書発行を複数の認証局に委譲できるようにするため。
クライアントはルート認証局の証明書(ルート証明書)だけを持っていればよい。これにより、後から認証局を自由に増やすことができる。
この時、サーバーは中間認証局の証明書と自分のサーバー証明書の両方の提示が必要。(いわゆる full-chain 証明書という奴。クライアントが中間認証局の証明書を持っていればいいが、持っていない場合に検証に失敗する。)
オレオレ認証局を作る場合は、中間認証局を作る動機はあまりないかもしれない。
複数の部署でそれぞれ独立して証明書を発行するようなケースでは中間認証局に分けた方がいいかもしれない。
CA.pl スクリプトでは中間認証局を作らない。
Keyword: Intermediate CA