超级会员免费看
云环境下PKI技术与NIST PQC计划深度解析
1. 云环境中微服务CA的利弊
在云环境中,当签发证书的认证机构(CA)采用微服务模式时,会带来一系列的好处和弊端。
- 好处 :微服务CA(micro - CA)可以根据需求灵活调整。当需求出现时启动,当需求下降到正常水平时关闭,具有很强的灵活性。
- 弊端
- 证书获取问题 :如果micro - CA生成自己的CA密钥对,它需要实时从上级CA获取CA证书。由于根CA通常离线操作,这意味着公钥基础设施(PKI)至少需要三层结构,即签发的micro - CA、至少一个中间CA和根CA。而且,为了使微服务有效,micro - CA需要在几秒内从在线的上级CA获取其CA证书。
- 证书有效期问题 :micro - CA证书的有效期是个难题。例如,如果micro - CA的运行周期为一天,除非它生成的所有应用证书都有相同的短生命周期,否则micro - CA证书在一天结束时过期是不可行的。虽然可以使用X.509私钥使用期扩展来延长其有效期,但这种扩展目前很少使用,可能会导致现有应用出现系统故障。
- HSM访问问题 :micro - CA可能无法访问硬件安全模块(HSM)。HSM访问通常需要谨慎操作,以避免对加密密钥的有意或无意访问。允许micro - CA在不使用HSM保护其私钥的情况下生成证书,不符合行业标准和最佳实践。
从总体来看,当前云加密和密钥管理存在问题且风险较高。随着金融应用向云端迁移,风险将会进一步增加,尤其是考
订阅专栏 解锁全文
扫一扫
53
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
