從屬證書頒發機構背後的目的

在我的工作地點，我們正在使用 Microsoft 產品建立 PKI 基礎架構。我們在這裡有一個完全乾淨的石板，並希望有一個良好的開端。我們想知道為什麼有人會設置從屬 CA。為什麼不對所有內容都使用根 CA？設置從屬 CA 有哪些優勢？

謝謝。

它通常被認為是良好的做法，至少有 2 層。根 CA 和從屬頒發 CA。頒發 CA 將所有證書頒發給您的電腦或使用者，根頒發從屬 CA 證書。這意味著您可以在不調試新的從屬 CA 時關閉根，並通過將其從網路中分離、將其鎖定在保險庫中並放置大的可怕標誌來保護該根。問題是你為什麼要這樣做？

證書的目的是做很多事情，但其中之一是向另一個人驗證一個人或一件工具包。證書執行此操作的方式是使用私鑰對數據進行簽名，並允許您使用證書中的公鑰檢查此簽名。如果它通過驗證，那麼您就知道該來源是可以信任的，因為只有它擁有私鑰。然後問題就變成了我如何信任證書和公鑰。您可以信任它，因為它使用頒發 CA 的私鑰簽名。這樣做的結果是，如果您的 CA 受到威脅，您將無法信任任何東西。

因此 sub-ca 和離線根的好處是您的根 ca 和關聯的密鑰幾乎不可能被破壞。如果您的一個子 cas 被洩露，那麼您只需撤銷頒發的子 ca 並建構另一個重新頒發您的證書和 crls。從受感染的 CA 頒發的所有證書將不再被信任。如果您的根目錄已被洩露，並且人們最終可能會相信他們正在連接到您的基礎設施，那麼您就不能這樣做。

引用自：https://serverfault.com/questions/94938