Java 信任库是否需要子ca证书？

我正在尝试设置分层PKI。我是否可以创建一个只包含根ca证书的信任库，这是否意味着我的应用程序信任由子ca证书签名的证书，而子ca证书又由根ca签名

---

另一方面，似乎必须提供完整的证书链，包括根ca证书。当然，如果根ca受信任，则不需要发送证书？我们只想检查下一个证书是否由它签署。

信任存储应该只包含根CA，而不是中间CA

标识存储应该包含私钥，每个私钥都与其证书链相关联，根证书链除外

很多应用程序在野外被错误配置，当试图识别自己时（比如，服务器使用SSL进行身份验证），它们只发送自己的证书，并且缺少中间层。错误地将根作为链的一部分发送的情况较少，但这种情况危害较小。大多数证书路径构建器将忽略它，并从其受信任密钥存储中找到根目录的路径

---

原始问题中的假设是正确的。

还可以在infosec StackExchange网站上查看这些相关问题：