Uma cadeia de certificados TLS inclui um certificado raiz, um certificado de autoridade de certificação intermediária (ICA) e um certificado de servidor. O certificado ICA de emissão é o link entre o certificado raiz e o certificado do servidor.
Por padrão, o CertCentral emite certificados TLS públicos de cadeias de certificados mistos SHA-256: Certificado de raiz SHA-1 e certificado SHA-256 ICA. Fazemos isso para fornecer a você a melhor onipresença de raízes. Cadeias de certificados SHA-256 públicos mistos podem emitir certificados de servidor SHA-256 e ECC.
Aviso
As cadeias de certificados SHA-256 públicos mistos são seguras e compatíveis com a indústria. Uma cadeia de certificação mista pode incluir um certificado raiz SHA-1, um certificado ICA SHA-256 e certificados de servidor SHA-256. Também pode incluir um certificado raiz SHA-1, um certificado SHA-256 ICA e um certificado de servidor ECC 384 EDCSA.
Todos os navegadores oferecem suporte a cadeias de certificados TLS públicos mistos. No entanto, alguns aplicativos que não são de navegador não oferecem suporte a certificados de raiz SHA-1. Além disso, algumas políticas da organização exigem cadeias SHA-256 e ECC 256/384 EDCSA completas para seus certificados TLS públicos.
Você pode adicionar uma opção à sua conta CertCentral que permite controlar qual cadeia de certificados DigiCert ICA emite seus certificados DV, OV e EV TLS públicos.
Esta opção permite que você:
Defina a cadeia de certificados ICA padrão para cada produto DV, OV e EV público compatível.
Controle quais cadeias de certificados ICA os solicitantes de certificados podem usar para emitir seus certificados flexíveis.
Quando seu gerente de conta habilita esse recurso, o DigiCert adiciona automaticamente novas opções ou menus aos formulários de pedido de certificado TLS e configurações de produto de certificado TLS compatíveis.
Este novo menu aparece em todos os formulários de pedido de certificado flexível e permite que o solicitante do certificado veja a cadeia de certificados ICA que emitirá o certificado flexível. Por padrão, também permite que o solicitante selecione a cadeia de certificados ICA que deve emitir o certificado.
No formulário de pedido, este menu está na seção Opções de certificado adicionais.
Você não pode remover este menu dos formulários de pedido. No entanto, você pode usar as configurações do produto de certificado flexível para controlar quais cadeias de certificados ICA aparecem no menu.
Este novo menu aparece nas configurações do produto para todos os certificados TLS suportados. Ele permite controlar como o menu Cadeias intermediárias[CA intermediária] > [CA raiz] funciona no formulário de pedido do certificado flexível. Você pode selecionar quais cadeias de certificados ICA o solicitante pode usar para emitir o certificado.
Por padrão, essa configuração permite que o solicitante do certificado use qualquer uma das cadeias de certificados ICA disponíveis para emitir o certificado flexível.
Ativar o recurso de seleção de cadeia de certificados ICA não altera a cadeia intermediária padrão para nenhum certificado compatível. Você deve alterar a cadeia de certificados ICA padrão para cada certificado flexível.