西門子ET200S模塊6ES7151-1AA05-0AA5現貨

Root 證書的證書鏈

PKI 證書通常按層級進行組織：層級頂部由根證書構成。Root 證書并非由上一級證書頒

發機構簽名。Root 證書的證書主體與證書的簽發者相同。根證書享受信任。它們構

成了信任“點”，因此可作為接收方的可信證書。此類證書存儲在專門存儲受信證書的區

域。西門子ET200S模塊6ES7151-1AA05-0AA5現貨

基于該 PKI，Root 證書可用于對下級證書頒發機構頒發的證書（即，所謂的中間證書）

進行簽名。從而實現從 Root 根證書到中間證書信任關系的傳遞。由于中間證書可對諸如

Root 證書之類的證書進行簽名，因此這兩種證書均稱為“CA 證書”

這種證書簽名層級可通過多個中間證書進行延伸，直至層的實體證書。終實體證書

即為待識別用戶的證書。

驗證過程則反向貫穿整個層級結構：綜上所述，先通過簽發者的公鑰確定證書簽發者并對

其簽名進行檢查，之后再沿著整條信任鏈確定上一級證書簽發者的證書，直至到達根證

書。

結論：無論組態何種安全通信類型，每臺設備中都必需包含一條到 Root 證書的中間證書

鏈（即證書路徑），對通信伙伴的層實體證書進行驗證。

“保護與安全 > 證書管理器”(Protection & Security > Certificate manager) 區域的特性

在窗口中，只有該區域內才能進行全局（即，項目級）和局部（即，設備特定）證書

管理器切換（選項“使用證書管理器的全局安全設置”(Use global security settings for

certificate manager)）。該選項確定了您是否有權訪問項目中的所有證書。

● 如果在全局安全設置中未使用證書管理器，則只能訪問 CPU 的局部證書存儲器。例

如，無法訪問所導入的證書或 Root 證書。如果沒有這些證書，則可用功能將受到限

制。例如，只能生成自簽名證書。

● 如果在全局安全設置中使用證書管理器并以管理員身份登錄，則有權訪問全局（項目

級）證書存儲器。例如，可為 CPU 分配所導入的證書，也可創建由項目 CA（項目的

證書頒發機構）簽發與簽名的證書。