既然咱们把根证书比作“老祖宗”，中间证书比作“业务经理”，那它们手里的“私钥”（也就是用来盖章签字的超级印章）在保管方式上，自然有着天壤之别。

根证书的私钥：物理隔离的“传国玉玺”

根证书的私钥是整个信任体系的最高机密，一旦泄露，整个体系就会崩塌。因此，它的保存方式堪称“变态级”的安全：

绝对的物理隔离：根证书私钥通常被存放在一个完全没有网络连接的物理设备中（也就是所谓的“离线CA”或“冷CA”）。它平时根本不上网，黑客想通过网络攻击窃取它，门都没有。
硬件级防护：它往往被锁在专门的硬件安全模块（HSM）里，这种硬件具有极高的防篡改能力，哪怕有人拿到了物理设备，也很难把私钥提取出来。
多重加密与权限控制：私钥文件本身会被高强度算法（如AES-256）加密，并设置极其严格的访问权限（比如只有系统最高管理员才能读取）。在实际操作中，甚至需要多人同时输入密码才能使用它。
极少露面：这把“玉玺”只有在一种情况下才会被拿出来用——那就是签发新的中间证书。平时它都在保险柜里吃灰。

中间证书的私钥：在线办公的“业务印章”

中间证书每天都要给成千上万的网站签发证书，所以它的私钥必须保持“在线”状态，随时准备干活。它的保存方式虽然也很安全，但相对灵活：

在线但受控：中间证书的私钥通常存放在负责签发证书的服务器上。为了防止被窃取，它同样会被高强度加密，并且严格限制访问权限，只有特定的签发程序才能调用。
随时可替换的“消耗品”：因为中间证书是在线运行的，风险相对较高。所以它的有效期通常比较短（比如1到5年）。如果这把“业务印章”不小心丢了或者被黑客盗用了，CA机构可以直接将其吊销（拉黑），然后重新生成一个新的中间证书继续干活，完全不需要惊动“老祖宗”（根证书）。