超级会员免费看
PKI部署:挑战与应对策略
1. 在线与离线操作
在线操作指终端实体直接连接到网络,通常能使用所有PKI相关服务。离线操作则允许终端实体在未直接联网时,仍能使用部分PKI服务。
一些技术(如使用在线证书状态协议的撤销信息传播)要求终端实体在线才能执行特定PKI操作,不适用于离线场景。为便于离线操作,可以缓存最新的撤销信息以验证撤销状态,也可随电子邮件提供撤销信息。同时,离线操作还需确保必要的证书和认证路径可用,可通过缓存或随邮件包含必要证书来实现。是否允许离线操作是一项策略决策,确定策略后可选择合适技术。
| 操作类型 | 连接状态 | 服务使用情况 |
|---|---|---|
| 在线操作 | 直接连接网络 | 可使用所有PKI相关服务 |
| 离线操作 | 未直接连接网络 | 可使用部分PKI服务 |
2. 外设支持
除了与基础设施组件(如CA、RA、存储库和客户端系统)相关的硬件外,还需考虑是否需要与CA操作相关的加密硬件模块。这能将CA的密钥材料生成并存储在硬件加密模块而非软件中,增强密钥材料的保护。
此外,可能还需要终端用户硬件令牌或智能卡,某些环境可能要求多因素认证,并将私钥材料存储在外设模块而非个人计算机上。生物识别设备也可能是必要的,可替代或补充硬件令牌或智能卡。并
订阅专栏 解锁全文
扫一扫
4
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
