Como Funcionam as Cadeias de Certificados

Quando você receber o certificado de outra entidade, você pode precisar utilizar uma cadeia de certificados para obter o certificado CA raiz.

A cadeia de certificados, também conhecida como caminho de certificação, é uma lista de certificados utilizada para autenticar uma entidade. A cadeia, ou caminho, começa com o certificado daquela entidade, e cada certificado na cadeia é assinado pela entidade identificada pelo próximo certificado na cadeia. A cadeia termina com um certificado de CA raiz. O certificado de autoridade de certificação raiz é sempre assinado pela própria autoridade de certificação (CA). As assinaturas de todos os certificados na cadeia devem ser verificadas até que o certificado de CA raiz seja alcançado.

Figura 1 ilustra um caminho de certificação do proprietário do certificado até o CA raiz, onde começa a cadeia de confiança.

Figura 1. Cadeia de confiança
Este diagrama mostra a assinatura em um certificado de usuário verificado com um certificado CA que é próprio verificado com o certificado de CA raiz. Os certificados estão em um caminho de certificação.

Cada certificado pode conter uma ou mais extensões. Um certificado pertencente a uma CA geralmente contém uma extensão BasicConstraints com o sinalizador isCA configurado para indicar que é permitido que ele assine outros certificados.