確かにサーバ証明書を発行するだけでしたら二階層で十分です。 規模が小さければそれで問題ありません。 しかし、大規模に証明書を発行するにはイロイロと不都合があります。 中間CAで代表的なのはWindows PKIです。 基本的にルートCAはオフラインで構築されるので、ルートCAから発行される証明書は常に人手を介します。 しかしそれでは、Active Directoryのメリットが減ってしまいます。 なので、ルートCAは中間CAの証明書を作成するのみとし、中間CAがAD管理下のアカウントやサーバに対して証明書を発行する体系をとります。 この場合、ルートCAはオフラインのままですが、中間CAからはオンラインで自動的に証明書を発行することができ、かつ、ある程度の安全性を保ったままにする事ができます。 パブリック認証局の場合、組織が異なることが多いです。 親会社がルートCAを持ち、子会社が中間CAでサーバ証明書を発行することもありますし、まるっきり別会社がパブリック認証局から中間CA用の証明書を発行してもらって、中間CAを自社運営する例もあります。 一般的には知られていませんが、ベリサインやセコムなどでも中間CA用の証明書発行サービスをやっています。 いずれにしても、階層が深くなると認証の判断が複雑になります。 信頼チェーンの構築、ルートCAのCRLと中間CAのCRL、それぞれの有効期限、Pathや拡張領域の整合性などをすべて検証しなければならないからです。 例えば、ルートCA → 中間CA1 → 中間CA2 → サーバ証明書、となっているとします。 中間CA1のCRLが何らかの理由で取得できなければ、ルートCAや中間CA2のCRLに問題が無かったとしても、サーバ証明書は無効であると判断しなければなりません。 ※ 中間CA1のCRLに中間CA2が載っていれば、中間CA2とそこから発行されたすべての証明書が無効になるからです。 検証の間違いが起きることを考慮して、それでも必要性がある場合に限って、中間CAを構築します。 認証局の運用規定により色々と理由はあるでしょうが、安易に中間CAにすることはありません。 以上、ご参考までに。