Jak działa unieważnianie certyfikatu w przypadku pośrednich urzędów certyfikacji?
Załóżmy, że hierarchia PKI, jak poniżej.
root CA ==> inter-1 CA ==> user-1
\
\======> inter-2 CA ==> user-2
Moje pytanie brzmi: czy root CA musi również okresowo pobierać CRL od swoich dzieci: inter-1 i inter-2?
Ponieważ użytkownik-1 i użytkownik-2 mogą się wzajemnie uwierzytelniać, jeśli certyfikat użytkownika-2 zostanie unieważniony przez inter-2, inter-2 powinien powiadomić roota, a następnie propagować do inter-1 i user-1, prawda?
Jeśli tak, wydaje się to dość skomplikowane. Czy istnieje narzędzie do zarządzania logiką odwołań? Wielkie dzięki.