Ilyen még a Microsoft tanúsítványos oktatóanyaga sem ír, pedig azokban szoktak meredek dolgok előfordulni... Az is úgy mondja, hogy egyszerű egy tartományos esetben elég a két szintű PKI, akkor érdemes 3 vagy esetleg több szintűt használni, ha több al-tartomány van, és akkor az intermediate kötődhet egy-egy altartományhoz.
Ezen felül elsősorban akkor használnak intermediate CA-t, ha komoly a dolog annyira, hogy a root CA-nak tényleg megbízhatónak kell lennie, és ezért a kulcsát is HSM-en tartják, és maga a root CA offline. Ilyenkor irtózat macerás lenne a napi használata, így csak intermediate CA-k hitelesítéséhez használják, ráadásul így valami logika mentén szeparálhatóak a tanúsítványok, így egy intermediate kompromittálódása esetén sem a root-ot, sem a többi ágat nem kell kidobni.
Amikor ez az egész csak egy "kényelmi" dolog (ne reklamáljon a böngésző), akkor simán lehet 2 szintű a PKI (root CA és tanúsítványok).
Mi pl. csak azért használunk 3 szintet, mert van egy saját root CA, és minden ügyfélhez van egy intermediate CA, és az írja alá az ügyfél rendszerében lévő tanúsítványokat (amiket a belső menedzsment felületeken használunk - azért, hogy ne reklamáljon a böngésző...). Így nekem csak a saját root CA-t kell felvennem (meg bárkinek, akinél ez szükséges), és a szolgáltatások pedig nem csak a saját tanúsítványt adják, hanem a "láncot" (intermediate+cert).