Во-первых, что касается различия между ключом и сертификатом (в отношении «ключа CA»), при обсуждении сертификатов открытого ключа (обычно X.509) используются 3 элемента: открытый ключ, закрытый ключ и сертификат.Открытый ключ и закрытый ключ образуют пару.Вы можете подписать и расшифровать с помощью закрытого ключа, вы можете проверить (подпись) и зашифровать с помощью открытого ключа.Открытый ключ предназначен для распространения, в то время как закрытый ключ должен оставаться закрытым.
Сертификат открытого ключа - это комбинация между открытым ключом и различными частями информации (в основном в отношении идентификациивладелец пары ключей (кто бы ни контролировал закрытый ключ), эта комбинация была подписана с использованием закрытого ключа издателя сертификата.Сертификат X.509 имеет отличительное имя субъекта и отличительное имя эмитента.Имя эмитента - это имя субъекта сертификата организации, выдавшей сертификат.Самозаверяющие сертификаты - это особый случай, когда эмитент и субъект совпадают.Подписывая содержимое сертификата (т. Е. Выдавая сертификат), эмитент утверждает его содержимое, в частности, связь между ключом, идентификационной информацией (субъектом) и различными атрибутами (которые могут указывать намерение или область использования длясертификат).
Кроме того, спецификация PKIX определяет расширение (часть данного сертификата), которое указывает, может ли сертификат использоваться в качестве сертификата CA, то есть может ли он использоваться в качестве сертификата.эмитент для другого сертификата.
Из этого вы создаете цепочку сертификатов между сертификатом конечного объекта (который вы хотите проверить для пользователя или сервера) и сертификатом CA, которому вы доверяете.Между сертификатом конечного объекта вашей услуги и сертификатом CA, которому вы доверяете, могут быть промежуточные сертификаты CA (выданные другими сертификатами CA).Вам строго не нужен корневой ЦС вверху (самозаверяющий сертификат ЦС), но это часто бывает (вы можете напрямую доверять промежуточному ЦС-сертификату, если хотите).вариант использования, если вы генерируете самозаверяющий сертификат для конкретной службы, не имеет значения, имеет ли он флаг CA (расширение базовых ограничений).Вам понадобится сертификат CA, чтобы иметь возможность выдавать другие сертификаты (если вы хотите создать свою собственную PKI).Если сертификат, который вы генерируете для этой службы, является сертификатом CA, это не должно причинить никакого вреда.Более важным является то, как вы можете настроить свой клиент для доверия этому сертификату для этого конкретного сервера (например, браузеры должны позволять вам сделать явное исключение довольно легко).Если механизм конфигурации следует модели PKI (без использования определенных исключений), поскольку не нужно создавать цепочку (только с одним сертификатом), вы сможете импортировать сертификат непосредственно как часть якорей доверияВаш клиент, является ли это сертификатом CA или нет (но это может зависеть от механизма конфигурации клиента).