下一代应用安全网关要确定某个 Web 服务器的签名是否可信，必须将签名所基于的根证书颁发机构 (CA) 证书添加到下一代应用安全网关证书存储中。生成数字签名的数字证书类型有 3 种：

• 包含用于验证实际 Web 服务器签名的公共密钥的“最终”或“签名”证书
• 包含用于验证签名证书或链中其他中间证书的公共密钥的一个或多个“中间”CA 证书
• 包含用于验证链中第一个中间 CA 证书（或者极少情况下直接验证签名证书）的公共密钥的“根”CA 证书。

如果下一代应用安全网关在 SSL 握手或签名处理期间遇到未知证书，它会将证书保存在“不可信”列表中。所有类型的证书均通过此种方式收集（签名证书、中间证书和根证书）。如果之后需要，通过此种方式收集的 CA 证书可被下一代应用安全网关“信任”，从而允许依赖于该 CA 证书的那些 Web 服务器的签名被处理为“有效”。中间 CA 证书和最终证书可能已激活，但这仅在根证书也激活的情况下起作用。

要管理下一代应用安全网关证书存储中的证书，请执行以下操作：

• 新增： 在系统中添加一个新的证书。
• 删除：将选定的证书从证书存储中删除。
• 信任证书的真实性：使 CA 证书可信。
• 不信任证书的真实性：将证书保存在下一代应用安全网关证书存储中，但不信任在证书路径中使用该证书的其他证书。