在我的工作地点,我们正在使用Microsoft产品build立一个PKI基础设施。 我们在这里有一个完全干净的石板,并希望有一个良好的开端。 我们想知道为什么有人会build立下属的CA. 为什么不使用根CA的一切? build立下属CA有什么优势?
谢谢。
它通常被认为是至less有两层的良好做法。 根ca和从属发证CA。 颁发CA颁发所有证书给您的机器或用户,并且根颁发下级CA证书。 这意味着您可以closures根目录,而不需要debugging新的从属CA,并通过将其从networking中分离出来保护该根目录,将其locking在一个金库中,并将可怕的标志放在上面。 questiion是你为什么要这样做?
证书的目的是做一些事情,但一个是validation一个人或一套工具包的另一个。 证书这样做的方式是使用私钥对数据进行签名,并允许您使用证书中的公钥检查此签名。 如果validation,那么你知道源可以被信任,只有它将有私钥。 那么问题就成为我如何信任证书和公钥。 您可以信任它,因为它使用颁发CA的私钥签名。 这样做的结果是,如果你的CA被破坏,你什么都不能信任。
sub-ca和脱机root的好处在于,你的root ca和相关的密钥几乎是不可能妥协的。 如果您的一个子卡受损,那么您只需撤销发卡子卡,然后再build立一个再发行您的证书和crls。 所有由受损害的CA颁发的证书将不再被破解。 如果你的root已经被攻破,那么你不能这样做,并且人们可能最终会相信他们连接到你的基础设施时,他们不是。