Как установлен корневой ЦС эмитента на клиентской машине, когда клиент (динамический) впервые подключается к серверу?

Question

Я прочитал об аутентификации сервера через Интернет и узнал, что Root CA для эмитентов должен быть импортирован в Trusted Root CA на обоих серверах и клиентских компьютерах для взаимной аутентификации.

Теперь предположим, что это банковское приложение.

Пользователь подключается к серверу банка в первый раз:

1. Сервер возвращает сертификат сервера для проверки себя к клиенту.
2. Клиент получает сертификат и проверяет с помощью доверенного корневого центра сертификации, который ранее подписал этот сертификат сервера.
3. Клиент отправляет сертификат и сервер с доверенным корневым сертификатом CA , который ранее подписал этот сертификат клиента.
4. Теперь начинается связь.

В шаге 3 Я понимаю, что доверенный корневой центр сертификации установлен на сервере при развертывании сервера. Однако, на шаге 2, когда клиентская машина подключается в первый раз (и может динамически подключаться с любого компьютера), как установлен корневой центр CA на клиентской машине?

Answer 1

Сертификаты Root CA обычно предустановлены в операционной системе и программном обеспечении (когда программное обеспечение использует собственный магазин доверия). Администраторы могут использовать свои инструменты для развертывания дополнительных корней (которые не являются общими, например, частными корнями организации).