windows-server-2008 – 从属证书颁发机构的目的

前端之家收集整理的这篇文章主要介绍了windows-server-2008 – 从属证书颁发机构的目的前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在我的工作地点,我们正在使用Microsoft产品建立PKI基础架构.我们在这里有一个完全干净的石板,希望有一个良好的开端.我们想知道为什么有人会设置从属CA.为什么不使用根CA来做所有事情?设置从属CA有哪些优势?

谢谢.

它通常被认为是至少有2层的良好做法.根ca和下属颁发CA.颁发CA向您的计算机或用户颁发所有证书,并且root颁发从属CA证书.这意味着您可以在不调试新的从属CA时关闭根,并通过将其从网络中分离,将其锁定在保险库中并放置大的可怕标记来保护该根.问题是你为什么要这样做?

证书的目的是做许多事情,但一个是将一个人或一个工具包认证到另一个人.证书执行此操作的方式是使用privat密钥对数据进行签名,并允许您使用证书中的公钥检查此签名.如果它验证,那么您知道源可以被信任,因为它只有私钥.那么问题就变成了我如何信任证书和公钥.您可以信任这一点,因为它使用颁发CA的私钥进行了签名.这样做的结果是,如果你的CA受到了损害,你就什么都不相信.

因此sub-ca和脱机根的好处是你的root ca和相关密钥几乎不可能妥协.如果您的某个子cas被泄露,那么您只需撤销发行子ca并构建另一个重新发布您的证书和crls.从受感染的CA颁发的所有证书将不再被删除.如果您的root被盗用,并且人们可能最终相信他们正在连接到您的基础架构,那么您就无法做到这一点.

猜你在找的Windows相关文章