ADCS PKI - 交叉認證或橋接 CA？

我們的公司正在被另一家公司收購，我們對創建交叉認證/橋接 CA 解決方案所需的要求感到好奇。

交叉認證正在頒發交叉認證授權。從 Contoso 的頒發 CA 到 Fabrikam 的根 CA 的證書。

“此交叉證書頒發機構證書的效果是，當證書送出給 Fabrikam 的電腦時，Fabrikam 根 CA 顯示為 Contoso 頒發 CA 的從屬 CA。”

有首選方法嗎？為什麼？

您將需要簡單的交叉認證。適合以簡單方便的方式將兩個 PKI “加為好友”。每個組織交叉認證其他組織並在其組織內發布交叉證書。

• 不需要雙向 AD 信任（假設 CRL 可以通過 HTTP 訪問，而不是 LDAP）
• 來自其他組織的 CRL 必須可以從您的網路訪問，反之亦然。

簡單的交叉認證沒有太大的可擴展性。在實踐中，它適用於不超過 3 個完全連接的對等方。為了在各方之間建立完全信任，所有要發行的交叉證書的數量計算如下：. 換句話說，它是一個完整的圖拓撲。

當有 4 個或更多參與者時，已發行的交叉證書總數急劇增加。這就是 CA 橋接幫助的地方。該圖被轉換為星形拓撲，其中橋 CA 是拓撲的中心，它通過單邊連接到所有參與者。所需交叉證書的總數計算如下：

每一方向 Bridge CA 頒發單個交叉證書，Bridge CA 向每一方發回單個交叉證書。當其他組織向您提供他們的證書時，其鏈會通過 Bridge CA 交叉證書循環，並以您自己的根 CA 結束。

引用自：https://serverfault.com/questions/861574