交叉认证原理

    如果一个证书的颁发者和使用者都是CA，则这样的证书被称作交叉证书。通过交叉证书实现的认证则称为交叉认证。交叉认证是一种把以前无关的CA链接在一起的有用机制，从而使得它们各自主体群之间的安全通信成为可能。交叉认证除了强调证书主体是CA而非最终实体外，其机理与普通的认证是相同的。交叉认证根据其作用的范围，可以作如下的区分：
1）如果两个CA属于相同的域（例如，在一个组织的CA层次结构中，在该结构中某层的一个CA认证它下面一层的一个CA，如图一），这种处理被称作域内交叉认证。

                                          

                                                                                    图一
2）如果两个CA属于不同的域（例如，当在一家公司中的CA认证了在另一家公司中的CA），这种处理被称为域间交叉认证。交叉认证可以是单向的，也可以是双向的。即，CA1可以交叉认证CA2（CA1向CA2颁发了交叉证书，如图二）而CA2没有交叉认证CA1。与之对应，CA1和CA2可以相互签发交叉证书。利用交叉认证技术可以扩展CA的信任范围，它允许不同信任体系中的认证中心建立起可信任的相互依赖关系，从而使各自签发的证书可以相互认证。

                                          
                                                                                 图二

想当年的中级证书，可能只是用来代码签名的，如果当时升级为CA，并且得到微软、VERISIGN等知名CA的交叉签名的话，相比沃通的业务会比现在更发达。

不错。学习

很好，学习了！

帖子很好，加油

前排学习