Chứng chỉ CA gốc thường được cài đặt ở đầu đối diện của kết nối TLS với các chứng chỉ trong tệp PKCS#12 (PFX).
Nếu tệp PKCS#12 chứa chứng chỉ xác thực ứng dụng khách cùng với khóa riêng của nó và chứng chỉ của CA đã cấp chứng chỉ đó (và có thể là các chứng chỉ CA trung gian khác), thì chuỗi được cài đặt trong thiết bị của bạn và được sử dụng để xác thực bạn với một máy chủ từ xa. Máy chủ đó phải cài đặt CA gốc trong kho lưu trữ neo tin cậy của nó, nếu nó tin tưởng CA gốc đó, CA gốc mà nó sử dụng để xác minh các chứng chỉ từ PKCS#12 do máy khách cung cấp.
Tương tự như vậy, nếu tệp PKCS#12 chứa chứng chỉ xác thực máy chủ cùng với khóa riêng của nó và chứng chỉ của CA đã cấp nó (và có thể là các chứng chỉ CA trung gian khác) thì chuỗi được cài đặt trong máy chủ của bạn và được sử dụng để xác thực nó với máy chủ của bạn. thiết bị. Thiết bị của bạn phải được cài đặt CA gốc trong kho lưu trữ neo tin cậy của nó, nếu bạn tin tưởng CA gốc đó. CA gốc này sẽ sử dụng để xác minh các chứng chỉ từ PKCS#12 do máy chủ cung cấp.
Nói như vậy, PKCS#12 chỉ đơn giản là một vùng chứa, do đó, các tổ hợp chứng chỉ và khóa khác được cho phép, nhưng trên đây là hai trường hợp sử dụng phổ biến nhất.
Nếu bạn cài đặt tất cả các chứng chỉ trong PKCS#12, điều đó không có nghĩa là bạn tin cậy bất kỳ chứng chỉ CA gốc nào bên trong. Ai/điều bạn tin tưởng không song phương - đó là sự lựa chọn của bạn. Bạn cần đưa ra lựa chọn đó một cách rõ ràng để đảm bảo tính toàn vẹn của hệ thống.
Ví dụ: nếu bạn cài đặt PKCS#12 trên trình duyệt Firefox của mình để bạn có thể đăng nhập vào một trang web, thì việc cài đặt bất kỳ CA gốc nào trong PKCS#12 trong cửa hàng neo tin cậy của Firefox sẽ tự động không có nghĩa lý gì. Bạn có thể không muốn tin tưởng CA gốc đó để xác minh máy chủ web, chỉ để xác minh ứng dụng khách. Nghĩa là, các nhà phát triển Firefox không quyết định bạn tin tưởng CA gốc nào.
Tương tự, nếu bạn cài đặt PKCS#12 trong máy chủ Windows, nó có thể xuất trình các chứng chỉ đó cho bất kỳ máy khách nào kết nối với nó và những máy khách đó (nếu chúng đã cài đặt chứng chỉ CA gốc trong cửa hàng neo tin cậy của chúng) sẽ tin tưởng máy chủ. Tuy nhiên, điều đó không tự động có nghĩa là bạn muốn tin cậy các chứng chỉ khác được cấp cho máy chủ của mình từ CA gốc đó, chẳng hạn như chứng chỉ xác thực ứng dụng khách.
Điểm mấu chốt là - bạn quyết định nên tin vào điều gì.