西門子ET200S模塊6ES7151-1AA05-0AA5現(xiàn)貨

Root 證書的證書鏈

PKI 證書通常按層級進(jìn)行組織：層級頂部由根證書構(gòu)成。Root 證書并非由上一級證書頒

發(fā)機(jī)構(gòu)簽名。Root 證書的證書主體與證書的簽發(fā)者相同。根證書享受信任。它們構(gòu)

成了信任“點(diǎn)”，因此可作為接收方的可信證書。此類證書存儲在專門存儲受信證書的區(qū)

域。西門子ET200S模塊6ES7151-1AA05-0AA5現(xiàn)貨

基于該 PKI，Root 證書可用于對下級證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書（即，所謂的中間證書）

進(jìn)行簽名。從而實(shí)現(xiàn)從 Root 根證書到中間證書信任關(guān)系的傳遞。由于中間證書可對諸如

Root 證書之類的證書進(jìn)行簽名，因此這兩種證書均稱為“CA 證書”

這種證書簽名層級可通過多個(gè)中間證書進(jìn)行延伸，直至層的實(shí)體證書。終實(shí)體證書

即為待識別用戶的證書。

驗(yàn)證過程則反向貫穿整個(gè)層級結(jié)構(gòu)：綜上所述，先通過簽發(fā)者的公鑰確定證書簽發(fā)者并對

其簽名進(jìn)行檢查，之后再沿著整條信任鏈確定上一級證書簽發(fā)者的證書，直至到達(dá)根證

書。

結(jié)論：無論組態(tài)何種安全通信類型，每臺設(shè)備中都必需包含一條到 Root 證書的中間證書

鏈（即證書路徑），對通信伙伴的層實(shí)體證書進(jìn)行驗(yàn)證。

“保護(hù)與安全 > 證書管理器”(Protection & Security > Certificate manager) 區(qū)域的特性

在窗口中，只有該區(qū)域內(nèi)才能進(jìn)行全局（即，項(xiàng)目級）和局部（即，設(shè)備特定）證書

管理器切換（選項(xiàng)“使用證書管理器的全局安全設(shè)置”(Use global security settings for

certificate manager)）。該選項(xiàng)確定了您是否有權(quán)訪問項(xiàng)目中的所有證書。

● 如果在全局安全設(shè)置中未使用證書管理器，則只能訪問 CPU 的局部證書存儲器。例

如，無法訪問所導(dǎo)入的證書或 Root 證書。如果沒有這些證書，則可用功能將受到限

制。例如，只能生成自簽名證書。

● 如果在全局安全設(shè)置中使用證書管理器并以管理員身份登錄，則有權(quán)訪問全局（項(xiàng)目

級）證書存儲器。例如，可為 CPU 分配所導(dǎo)入的證書，也可創(chuàng)建由項(xiàng)目 CA（項(xiàng)目的

證書頒發(fā)機(jī)構(gòu)）簽發(fā)與簽名的證書。