这听起来像是一个愚蠢的问题,但这是我第一次研究这个话题。是否可以创建证书链。
所以目前我们有这样的结构:
Root CA --> Intermediate CA --> Issues certificates
这是我们想要的结构:
Root CA --> Intermediate CA --> Another Intermediate CA --> Issue certs
--> Another Intermediate CA --> Issue certs
--> Another Intermediate CA --> Issue certs
我做了一些研究,但我无法确定这种链接结构是否可行。
我们希望有一个根 CA,然后是一个部门的中间人,然后是部门内项目的其他中间人。如果完成,它将有助于划分任何损坏。
CA 层次结构类似于具有特定规则的文件夹组织。每个额外的 CA 都会增加管理成本。每个新层都会增加证书链验证时间。因此,您需要保持尽可能少的 CA 和尽可能短的链,因为这是合理的。
推荐的最低配置是两层:
Root CA --> Policy/Issuing CA --> End Entities
根 CA 应该离线,不连接到任何网络,使用 HSM 并保存在安全的房间中。根 CA 的丢失/妥协会导致整个 PKI 崩溃,而没有任何机会撤销它。这就是为什么根 CA 通常只向其他 CA 颁发证书,而不是向最终实体颁发证书。大多数时候它是关闭的,仅在证书更新和 CRL 发布期间打开。
Policy/Issuing CA 在根目录下构建,并直接与最终实体(证书消费者或订阅者)一起使用。从逻辑上讲,它安装在大多数客户端附近。它已启用并 24/7 全天候运行。物理安全性与根 CA 相同:安全房间、HSM(个人或网络-hsm)、对设备的严格物理访问。颁发 CA 的妥协仍然很糟糕,但可以恢复。至少,只有部分 PKI 被破坏(特定链),您可以撤销被破坏的 CA 证书,而无需在任何地方替换根。
如果您需要单独的 CA 部门,请执行以下操作:
Root CA --> Policy/Issuing CA 1 --> End Entities
--> Policy/Issuing CA 2 --> End Entities
--> Policy/Issuing CA 3 --> End Entities
这样的配置没有任何问题。