Можно ли доверять сертификату в Windows, не доверяя его корневому ЦС?

Ну вы мог получить эту информацию о доверии другим способом.

Это, к сожалению, немного сложно.

Создайте свой собственный ЦС, а затем создайте своего собственного эмитента перекрестной подписи для Dept-Intermediate-1 (или Dept-Root-CA), подписав их сертификат с вашим CA, возможно, добавив ограничения домена. Если «настоящий» Dep-Intermediate-1 деактивирован (предпочтительно) или неизвестен, Windows будет использовать вместо этого вашу цепочку доверия.

Смотрите мой другой ответ здесь: Ограничить корневой сертификат доменом

Вот как должны работать сертификаты, используя цифровые подписи для подтверждения владения ключом. Поскольку вы хотите утверждать, что сертификат и ключ принадлежат серверу, вы подписываете его самостоятельно, под вашим контролем, а затем говорите системе, что она вам доверяет.

В сертификате еще много полезности без иерархия CA выше того, что предоставляют ключи SSH; часть этого - ограничения на них. Использование ключа, даты действия, информация об отзыве, ограничения домена и т. Д. Другая часть - это идентификационная информация; сервер, которому принадлежит ключ, идентификатор эмитента, применяемые политики CA, информация о хранилище ключей и т. д.

Нет. Если в сертификате указано «Выдан: xxx», вы также должны доверять xxx на всем протяжении цепочки. Если это самозаверяющий сертификат, вы можете поместить его в хранилище доверенных корневых центров сертификации, и, поскольку он выдается и выдается одним и тем же объектом, тогда ему следует доверять.

Но нет, как правило, нецелесообразно или нецелесообразно полностью обходить всю цель безопасности на основе сертификатов.