windows-server-2008 – 从属证书颁发机构的目的

在我的工作地点,我们正在使用Microsoft产品建立PKI基础架构.我们在这里有一个完全干净的石板,希望有一个良好的开端.我们想知道为什么有人会设置从属CA.为什么不使用根CA来做所有事情？设置从属CA有哪些优势？

谢谢.

证书的目的是做许多事情,但一个是将一个人或一个工具包认证到另一个人.证书执行此操作的方式是使用privat密钥对数据进行签名,并允许您使用证书中的公钥检查此签名.如果它验证,那么您知道源可以被信任,因为它只有私钥.那么问题就变成了我如何信任证书和公钥.您可以信任这一点,因为它使用颁发CA的私钥进行了签名.这样做的结果是,如果你的CA受到了损害,你就什么都不相信.

因此sub-ca和脱机根的好处是你的root ca和相关密钥几乎不可能妥协.如果您的某个子cas被泄露,那么您只需撤销发行子ca并构建另一个重新发布您的证书和crls.从受感染的CA颁发的所有证书将不再被删除.如果您的root被盗用,并且人们可能最终相信他们正在连接到您的基础架构,那么您就无法做到这一点.

（编辑：揭阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!