Hokay, так что ... Я ВЕРЮ за 1, минимальный root сертификат содержит первичный и резервный сертификаты доверия. Это точно так же, как и любой другой сертификат root, где в одном файле содержится несколько сертификатов, так что сертификат можно менять без прерывания развертывания. В стандартном сертификате Google root, например, есть десятки сертификатов в файле root.pem, и эти сертификаты меняются каждые несколько месяцев. Минимальный сертификат root гарантирован для гораздо более длительного развертывания (я забыл, как долго на данный момент, но он довольно длинный), потому что устройства IoT не обновляются так часто, и необходимость повторного развертывания в полевых условиях является проблемой. Таким образом, резервный сертификат существует на тот случай, если основной имеет проблемы, опять же, чтобы файл сертификата root не мешал развертыванию.
2 - Откуда эта информация? Это от Google? Я его не видел (хотя я уже почти год работаю над IoT Core, так что, возможно, я просто не видел его). Я ПРЕДПОЛАГАЮ, что ca.cert - это сертификат Google root, да, но это может не зависеть от того, откуда эта информация.
3 - В IoT Core, место, куда вы можете загрузить CA файлы предназначены специально для регистрации устройства. Это добавленная часть аутентификации, которая требует, чтобы все устройства, зарегистрированные в IoT Core, использовали SSL-сертификаты, подписанные указанным ЦС. Вы заметите, что это указано в реестре. Таким образом, вы можете иметь защищенные реестры, которые позволяют регистрировать устройства только с этим дополнительным уровнем аутентификации. Это ни в коем случае не требуется, это просто дополнение, если оно требуется вашей системе.