CompTIA Security +の私の教科書には、次の練習問題があります。
次のPKIトラストモデルのどれが、単一障害点ではなくルートですか?
- 単一CA
- 階層的CA
- オンラインCA
- 自己署名
さて、私はただちにSingleとHierarchicalを誤って却下しました。私はオンラインについて簡単に検討しましたが、CAをアクセス可能にしても、それが単一障害点であるかどうかには影響しないと判断しました。したがって、single障害点がないため、ようやく自己署名を選択しました。各マシンは独自のCAです(私は時々考えすぎます)。私は間違っていて、オンラインCAが正解であることがわかりました。
何故ですか?ルートCAをオンラインにすると、シングルポイント障害にならないのはなぜですか。オンラインとオフラインではない接線 CAが単一障害点であるかどうかの問題に?証明書関連のタスクでルートにアクセスできる以外に、「オンラインCA」には別の意味がありますか?
質問の言い方には根源があります。したがって、自己署名にはルートがないため、自己署名を却下する必要があります。それは「明らかに間違っている」オプションです(明らかに間違っている、2つはほぼ正しい、2つは正しい、またはもっと正しいという4つのオプションのモデルを使用しています)。
オンラインCAには、冗長性と分散チェーンの概念が含まれています。
オンラインルート証明書は、信頼できる証明書ストアにあります。したがって、発行CA証明書がルートによって信頼されている場合は、発行CAを信頼します。そのため、ルートはオフラインにすることができ、証明書チェーンは引き続き信頼されます