ブラウザーには、通常、主要な CA の証明書があらかじめインストールされており、ユーザーが証明書をインストールする必要はほとんどありません。CA のルート証明書が必要な場合は、CA の Web サイトから通常はダウンロードできます。
一般に、CA では「ルート」証明書と「中間」証明書の両方を使用します。サーバー証明書、クライアント証明書、ユーザー証明書などのエンティティ証明書は、中間証明書によって署名されます。中間証明書は、他の中間証明書またはルート証明書によって署名されます。エンティティ、中間体、およびルートによって、信頼されたルート証明書で終わる証明書の「チェーン」が形成されます。クライアントやサーバーから必要な中間証明書をエンティティ証明書とともに送信する場合もありますが、相互運用性を最大限に高めるには、ルート証明書と中間証明書の両方を信頼済み証明書のコレクションにインポートします。
デモンストレーション CA では、ルート証明書と単一の中間証明書を使用しています。これらは、Demo CA の場所のファイル entities/CAs/EC_CAcollection.p7b にあります。「EC」というプレフィックスは、それらが ECC (楕円曲線暗号) 証明書であることを示しています。このファイルには、ファイル拡張子が .pem の異なる形式の別バージョンがあります。.p7b ファイルは PKCS#7 形式であり、より多くのブラウザーでサポートされます。このファイルを信頼済み証明書のコレクションにインポートします。
インポート プロセスはブラウザーごとに異なります。特に、信頼済み証明書のコレクションについて、独自のコレクションを持つブラウザーもあれば、オペレーティング システムで管理されているコレクションを使用するブラウザーもあります。どちらの場合も、通常はブラウザーの設定ページ ([セキュリティ] タブなどが一般的) から、信頼済み証明書をインポートするためのウィザードやその他のツールを利用できます。
証明書をインポートする一般的な手順は次のとおりです。