An meinem Arbeitsplatz bauen wir eine PKI-Infrastruktur mit Microsoft-Produkten auf. Wir haben hier einen völlig sauberen Schiefer und wollen einen guten Start haben. Wir fragen uns, warum jemand untergeordnete Zertifizierungsstellen einrichten würde. Warum nicht die Stammzertifizierungsstelle für alles verwenden? Welche Vorteile gibt es für die Einrichtung untergeordneter Zertifizierungsstellen?
Vielen Dank.
Antworten:
Es wird allgemein als gute Praxis angesehen, mindestens 2 Ebenen zu haben. Die Stamm-CA und die untergeordneten ausstellenden Zertifizierungsstellen. Die ausstellenden Zertifizierungsstellen stellen alle Zertifikate an Ihre Computer oder Benutzer aus, und der Stamm stellt die untergeordneten Zertifizierungsstellenzertifikate aus. Dies bedeutet, dass Sie den Stamm ausschalten können, wenn Sie keine neue untergeordnete Zertifizierungsstelle in Betrieb nehmen, und diesen Stamm schützen können, indem Sie ihn aus dem Netzwerk entfernen, ihn in einem Tresor sperren und große beängstigende Zeichen setzen. Die Frage ist, warum Sie dies tun möchten?
Der Zweck von Zertifikaten besteht darin, eine Reihe von Dingen zu erledigen, aber einer besteht darin, eine Person oder ein Teil des Kits bei einer anderen zu authentifizieren. Das Zertifikat führt dies durch, indem Daten mit einem privaten Schlüssel signiert werden und Sie diese Signatur mit dem öffentlichen Schlüssel im Zertifikat überprüfen können. Wenn es validiert wird, wissen Sie, dass der Quelle vertraut werden kann, da nur sie den privaten Schlüssel haben würde. Die Frage wird dann, wie ich dem Zertifikat und dem öffentlichen Schlüssel vertrauen kann. Sie können dem vertrauen, da es mit dem privaten Schlüssel der ausstellenden Zertifizierungsstelle signiert ist. Das Ergebnis ist, wenn Ihre Zertifizierungsstellen kompromittiert sind, können Sie nichts vertrauen.
Der Vorteil von Sub-Ca und einem Offline-Root besteht daher darin, dass Ihr Root-Ca und die zugehörigen Schlüssel kaum kompromittiert werden können. Wenn einer Ihrer Sub-Cas kompromittiert ist, widerrufen Sie einfach den ausstellenden Sub-Ca und erstellen einen anderen, der Ihre Zertifikate und CRLs erneut ausstellt. Alle von der gefährdeten Zertifizierungsstelle ausgestellten Zertifikate werden nicht mehr verarbeitet. Sie können dies nicht tun, wenn Ihr Root kompromittiert wurde und die Benutzer darauf vertrauen können, dass sie eine Verbindung zu Ihrer Infrastruktur herstellen, wenn dies nicht der Fall ist.