超级会员免费看
Windows Server 2022 证书颁发机构安装与配置指南
1. 证书颁发机构架构介绍
在构建公钥基础设施(PKI)之前,需要规划其架构。架构应满足组织的证书需求,涵盖从凭证加密到代码签名等多方面。需要做出重要决策,如根证书颁发机构(CA)是离线 CA 还是企业 CA,需要多少个颁发 CA,以及是否需要单独的策略 CA。
1.1 根证书颁发机构
根 CA 是所有证书的信任基础,在证书信任链中处于最高级别,用于验证证书的有效性。它是唯一拥有自签名证书的 CA,因此必须妥善保护,否则攻击者可能会利用它颁发受网络信任的证书。
根 CA 不应被用于日常证书颁发。最佳实践是至少设置一个根 CA 和一个颁发 CA,根 CA 向颁发 CA 颁发下级 CA 证书。虽然技术上可以让根 CA 同时担任颁发 CA 的角色,但不建议这样做。
- 离线根 CA :离线根 CA 是最安全的根 CA 类型,因为它离线时无法被攻击。在这种架构下,根 CA 仅在根据下级 CA 模板为颁发 CA 颁发证书时上线,颁发完成并更新证书吊销列表(CRL)后再下线。CRL 用于识别已吊销的证书。离线根 CA 的缺点是需要通过组策略分发其证书,并手动发布 CRL,这可能比较耗时,对于小型 IT 部门来说可能缺乏相应的维护技能。
- 企业根 CA :如果环境对 PKI 保护没有严格的监管要求,企业根 CA 是一个不错的选择。它与 Active Directory 集成,可以自动发布自己的证书和 CRL,部署方法简单,手动工作量少。但由于它始终在线,需要采取额外的预防措施,
订阅专栏 解锁全文
扫一扫
1386
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
