Como entiendo el proceso de verificación del certificado SSL de una computadora remota, el sistema remoto envía su certificado "hoja" y cualquier certificado intermedio, pero no el certificado raíz. La ejecución de este comando openssl
muestra que el servidor remoto no envía el certificado raíz:
openssl s_client -showcerts -connect www.stackoverflow.com:443
Es responsabilidad del cliente verificar que el certificado de hoja fue firmado por el primer certificado intermedio, que el primer intermedio fue firmado por el segundo y así sucesivamente. En última instancia, la firma en el último certificado proporcionado por el sistema remoto se verifica para verificar que esté firmada por un certificado raíz en el que ya se haya confiado, es decir, que ya se encuentre en el 'almacén de confianza'.
Entonces, aquí está la pregunta: ¿por qué usted, como cliente, desea almacenar un certificado intermedio? El almacén de certificados de Windows tiene un área designada para almacenar "Autoridades de certificación intermedias". ¿Para qué sirve? ¿Hay algún caso en el que se necesite almacenar certificados intermedios?