У меня есть сертификат, .cer файл. При клике на него выходит окошко с полным сертификационным путем. Мне же надо извлечь эту цепочку программно, на Java.

Я надеялся, что все "родительские сертификаты" хранятся в самом сертфикате, но
показал мне, что есть только ссылка на родительский сертифкат в цепочке. А именно, у свойства AuthorityInfoAccess есть подсвойство
accessMethod: caIssuers
accessLocation: URIName: http://.../some.crt
Я скачал сертифкат по ссылке, у него тоже было такое же свойство. Я опять скачал родителя и так до корневого сертификата.

Вопросы:

1) Когда винда отображает цепочку, она выкачивает цепочку так, как я описал выше или все таки я про***л какое-то свойство, в котором они все упрятаны?

2) Если действительно надо выкачивать, есть ли готовые билиотеки для этого? Надежда на bouncycastle не оправдалась, примеров не нашел, код из стд библиотеки вида




выдает только один сертифкат (тот, для которого пытаюсь вытащить цепочку), но не вытаскивает всю цепочку.

3) Пусть я скачал как-то всю цепочку. Я правильно понимаю, что корневой сертификат должен быть заранее скачан и установлен в ОС (или в Java Keystore, так как я валидирую на Java), то есть, ему мы доверяем "физически", а не "криптографически", о остальным участникам цепочки доверяем уже криптографически?

Imagine I somehow managed to get full cert chain and provided it to 'CertPathValidator`. If I got the process correctly, I should not mathematically but physically trust root cert. I mean, I have to manually install root cert to OS keystore (or Java's keystore if I'm verifying with Java?) and after that may begin "mathematical-encrypted digest trust loop", am I right?

Черт, последний абзац забыл убрать, это копипаста моя вопроса со стека, сорри за лишний текст)