Jam*_*nes 7 windows-server-2008 certificate certificate-authority
在我的工作地点,我们正在使用 Microsoft 产品建立 PKI 基础结构。我们在这里有一个完全干净的石板,并希望有一个良好的开端。我们想知道为什么有人会设置从属 CA。为什么不对所有事情都使用根 CA?设置从属 CA 有哪些优势?
谢谢。
Mar*_*ton 13
通常认为至少有 2 个层级的良好做法。根 CA 和下级颁发 CA。颁发 CA 向您的机器或用户颁发所有证书,根颁发从属 CA 证书。这意味着您可以在不委托新的从属 CA 时关闭根,并通过将其与网络分离、将其锁定在保险库中并放置可怕的大标志来保护该根。问题是你为什么要这样做?
证书的目的是做很多事情,但其中之一是向另一个人或套件验证一个人。证书执行此操作的方式是使用私钥对数据进行签名,并允许您使用证书中的公钥来检查此签名。如果它通过验证,那么您就知道该来源是可以信任的,因为只有它拥有私钥。那么问题就变成了我如何信任证书和公钥。您可以信任它,因为它是用颁发 CA 的私钥签名的。这样做的结果是,如果您的 CA 受到威胁,您就不能信任任何东西。
因此,sub-ca 和离线根的好处是您的根 ca 和关联的密钥几乎不可能妥协。如果您的一个 sub-cas 被泄露,那么您只需撤销颁发的 sub-ca 并构建另一个重新颁发您的证书和 crls。从受感染的 CA 颁发的所有证书将不再受到信任。如果您的根已被入侵,并且人们最终可能会相信他们正在连接到您的基础设施,而实际上他们并没有连接到您的基础设施,那么您就不能这样做。
| 归档时间: |
|
| 查看次数: |
5751 次 |
| 最近记录: |