西門子ET200S模塊6ES7151-1AA05-0AA5現(xiàn)貨

Root 證書(shū)的證書(shū)鏈

PKI 證書(shū)通常按層級(jí)進(jìn)行組織：層級(jí)頂部由根證書(shū)構(gòu)成。Root 證書(shū)并非由上一級(jí)證書(shū)頒

發(fā)機(jī)構(gòu)簽名。Root 證書(shū)的證書(shū)主體與證書(shū)的簽發(fā)者相同。根證書(shū)享受信任。它們構(gòu)

成了信任“點(diǎn)”，因此可作為接收方的可信證書(shū)。此類證書(shū)存儲(chǔ)在專門存儲(chǔ)受信證書(shū)的區(qū)

域。西門子ET200S模塊6ES7151-1AA05-0AA5現(xiàn)貨

基于該 PKI，Root 證書(shū)可用于對(duì)下級(jí)證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的證書(shū)（即，所謂的中間證書(shū)）

進(jìn)行簽名。從而實(shí)現(xiàn)從 Root 根證書(shū)到中間證書(shū)信任關(guān)系的傳遞。由于中間證書(shū)可對(duì)諸如

Root 證書(shū)之類的證書(shū)進(jìn)行簽名，因此這兩種證書(shū)均稱為“CA 證書(shū)”

這種證書(shū)簽名層級(jí)可通過(guò)多個(gè)中間證書(shū)進(jìn)行延伸，直至層的實(shí)體證書(shū)。終實(shí)體證書(shū)

即為待識(shí)別用戶的證書(shū)。

驗(yàn)證過(guò)程則反向貫穿整個(gè)層級(jí)結(jié)構(gòu)：綜上所述，先通過(guò)簽發(fā)者的公鑰確定證書(shū)簽發(fā)者并對(duì)

其簽名進(jìn)行檢查，之后再沿著整條信任鏈確定上一級(jí)證書(shū)簽發(fā)者的證書(shū)，直至到達(dá)根證

書(shū)。

結(jié)論：無(wú)論組態(tài)何種安全通信類型，每臺(tái)設(shè)備中都必需包含一條到 Root 證書(shū)的中間證書(shū)

鏈（即證書(shū)路徑），對(duì)通信伙伴的層實(shí)體證書(shū)進(jìn)行驗(yàn)證。

“保護(hù)與安全 > 證書(shū)管理器”(Protection & Security > Certificate manager) 區(qū)域的特性

在窗口中，只有該區(qū)域內(nèi)才能進(jìn)行全局（即，項(xiàng)目級(jí)）和局部（即，設(shè)備特定）證書(shū)

管理器切換（選項(xiàng)“使用證書(shū)管理器的全局安全設(shè)置”(Use global security settings for

certificate manager)）。該選項(xiàng)確定了您是否有權(quán)訪問(wèn)項(xiàng)目中的所有證書(shū)。

● 如果在全局安全設(shè)置中未使用證書(shū)管理器，則只能訪問(wèn) CPU 的局部證書(shū)存儲(chǔ)器。例

如，無(wú)法訪問(wèn)所導(dǎo)入的證書(shū)或 Root 證書(shū)。如果沒(méi)有這些證書(shū)，則可用功能將受到限

制。例如，只能生成自簽名證書(shū)。

● 如果在全局安全設(shè)置中使用證書(shū)管理器并以管理員身份登錄，則有權(quán)訪問(wèn)全局（項(xiàng)目

級(jí)）證書(shū)存儲(chǔ)器。例如，可為 CPU 分配所導(dǎo)入的證書(shū)，也可創(chuàng)建由項(xiàng)目 CA（項(xiàng)目的

證書(shū)頒發(fā)機(jī)構(gòu)）簽發(fā)與簽名的證書(shū)。