服务器 Gind.cn
  1. 服务器 Gind.cn
  3. ADCS PKI – 交叉authentication或桥接CA?
Intereting Posts
无法运行freeradius作为服务 在提供SSL的负载均衡器后面托pipe的WordPress 在VPS上设置域 Exchange 2007 SCR和故障转移群集? 我如何编写cron作业的集成testing? 如何防止postfix接收邮件? 惠普左手P4000 – 任何人都有一个? .htaccess重写错误 使用DNAME将未知子域映射到区域文件中的单点 dnsmasq和openvpn,服务器根据客户端networkingparsing不同的IP 无法更改SSL绑定 请求archive.zip时,Gitlabredirect循环 MySQL并发保护/排队/集群 Ubuntu RM不删除文件 工作人员使用不属于他们的login细节,在PCI兼容系统中合法吗?

ADCS PKI – 交叉authentication或桥接CA?

我们公司正在被另一家公司收购,我们对创build一个交叉authentication/桥梁CA解决scheme所需的要求感到好奇。

交叉authentication正在发布一个交叉authenticationauthentication。 证书从Contoso的颁发CA颁发给Fabrikam的根CA.

“这个跨证书颁发机构证书的作用是当证书被呈现给Fabrikam的计算机时,Fabrikam根CA出现在Contoso颁发CA的从属CA上。

有一个首选的方法,为什么?

您将需要简单的交叉authentication。 简单方便地将两个PKI“朋友”合并在一起。 每个组织交叉authentication其他组织并在其组织内发布交叉证书。

  • 双向AD信任不需要(假设CRL可通过HTTP访问,而不是LDAP)
  • 来自其他组织的CRL必须从您的networking获得,反之亦然。

简单的交叉authentication是不可扩展的。 在实践中,它将适用于不超过3个完全关联的同行。 为了build立各方之间的完整信任,所有交叉证书的发放数量计算如下: 式 。 换句话说,这是一个完整的graphics拓扑。

当有4个或更多的参与者时,总发放交叉证书的数量急剧增加。 这是CA桥接帮助的地方。 该graphics转换为星形拓扑,其中桥CA是拓扑的中心,并且连接到具有单边的所有参与者。 所需的交叉证书总数计算如下: 式

各方签发单一交叉证书给桥CA和桥CA向每一方发回单交叉证书。 当其他组织出示您的证书时,其链路将通过Bridge CA交叉证书循环,最终以您自己的根CA.