信任库是否需要sub-ca证书？

我正在尝试设置分层PKI.我是否可以创建仅包含根ca证书的信任库,这是否意味着我的应用程序信任由sub-ca证书签署的证书,而该证书又由root ca签名？

顺便说一下,您似乎必须提供整个证书链,包括根证书.当然,如果根ca是可信的,则不需要发送证书？我们只想检查下一个证书是否由它签名.

信任存储区应仅包含根CA,而不包含中间产品.

身份存储应包含私钥,每个私钥与其证书链相关联,但根目录除外.

野外的许多应用程序配置错误,并且在尝试识别自身时(例如,使用SSL验证自身的服务器),它们只发送自己的证书,并且缺少中间体.错误地将根作为链的一部分发送的次数较少,但这样做的危害较小.大多数证书路径构建器将忽略它,并从其可信密钥库中找到根路径.

原始问题中的假设是正确的.