Windows-Server-2008
從屬證書頒發機構背後的目的
在我的工作地點,我們正在使用 Microsoft 產品建立 PKI 基礎架構。我們在這裡有一個完全乾淨的石板,並希望有一個良好的開端。我們想知道為什麼有人會設置從屬 CA。為什麼不對所有內容都使用根 CA?設置從屬 CA 有哪些優勢?
謝謝。
它通常被認為是良好的做法,至少有 2 層。根 CA 和從屬頒發 CA。頒發 CA 將所有證書頒發給您的電腦或使用者,根頒發從屬 CA 證書。這意味著您可以在不調試新的從屬 CA 時關閉根,並通過將其從網路中分離、將其鎖定在保險庫中並放置大的可怕標誌來保護該根。問題是你為什麼要這樣做?
證書的目的是做很多事情,但其中之一是向另一個人驗證一個人或一件工具包。證書執行此操作的方式是使用私鑰對數據進行簽名,並允許您使用證書中的公鑰檢查此簽名。如果它通過驗證,那麼您就知道該來源是可以信任的,因為只有它擁有私鑰。然後問題就變成了我如何信任證書和公鑰。您可以信任它,因為它使用頒發 CA 的私鑰簽名。這樣做的結果是,如果您的 CA 受到威脅,您將無法信任任何東西。
因此 sub-ca 和離線根的好處是您的根 ca 和關聯的密鑰幾乎不可能被破壞。如果您的一個子 cas 被洩露,那麼您只需撤銷頒發的子 ca 並建構另一個重新頒發您的證書和 crls。從受感染的 CA 頒發的所有證書將不再被信任。如果您的根目錄已被洩露,並且人們最終可能會相信他們正在連接到您的基礎設施,那麼您就不能這樣做。