ルートCAを信頼せずに、Windowsで証明書を信頼することは可能ですか？

ルートCAを信頼されたルートCAとして信頼することなく、Windowsが証明書を信頼するようにすることは可能ですか？

私は次の証明書チェーンを持っていると言います、

Dept-Root-CA
Dept-Intermediate-1
Server-Certificate

Server-Certificateを信頼したいが、Dept-Root-CAを信頼したくない 特定の操作についてServer-Certificateの証明書を信頼したいからといって、Dept-Root-CAが適切に保護されていることを信頼したいわけではありません。

ありがとう

いいえ。証明書に「Issued by：xxx」と表示されている限り、チェーン全体でxxxも信頼する必要があります。自己署名証明書の場合は、信頼されたルートCAストアに置くことができます。また、同じエンティティに対して発行され、同じエンティティによって発行されているため、信頼できるはずです。

しかし、一般的に、証明書ベースのセキュリティの目的全体を完全に回避することは、実行可能または明白ではありません。

ええと... その信頼情報を別の方法でキャプチャできます。

残念ながら、少し複雑です。

独自のCAを作成し、CAで証明書に署名することにより、Dept-Intermediate-1（またはDept-Root-CA）の独自のクロス署名発行者を作成します。ドメイン制限を追加することもできます。「実際の」Dep-Intermediate-1が非アクティブ化されている場合（できれば）または不明な場合、Windowsは代わりに信頼チェーンを使用します。

私の他の回答はこちら：ルート証明書をドメインに制限する

これは、デジタル署名を使用してキーの所有権を表明する証明書の仕組みです。証明書とキーがサーバーに属していることを表明したいので、自分の権限で自分で署名してから、システムに信頼するように指示します。

CA階層のない証明書には、SSHキーが提供するものよりも多くのユーティリティがまだあります。その一部はそれらに対する制限です。キーの使用法、有効期限、失効情報、ドメイン制限など。他の部分は識別情報です。キーを所有するサーバー、発行者のID、適用されるCAポリシー、キーストレージ情報など。