web-dev-qa-db-ja.com

オンラインCAモデルのルートが単一障害点ではないのはなぜですか?

CompTIA Security +の私の教科書には、次の練習問題があります。

次のPKIトラストモデルのどれが、単一障害点ではなくルートですか?

  • 単一CA
  • 階層的CA
  • オンラインCA
  • 自己署名

さて、私はただちにSingleとHierarchicalを誤って却下しました。私はオンラインについて簡単に検討しましたが、CAをアクセス可能にしても、それが単一障害点であるかどうかには影響しないと判断しました。したがって、single障害点がないため、ようやく自己署名を選択しました。各マシンは独自のCAです(私は時々考えすぎます)。私は間違っていて、オンラインCAが正解であることがわかりました。

何故ですか?ルートCAをオンラインにすると、シングルポイント障害にならないのはなぜですか。オンラインとオフラインではない接線 CAが単一障害点であるかどうかの問題に?証明書関連のタスクでルートにアクセスできる以外に、「オンラインCA」には別の意味がありますか?

4
Fire Quacker

質問の言い方には根源があります。したがって、自己署名にはルートがないため、自己署名を却下する必要があります。それは「明らかに間違っている」オプションです(明らかに間違っている、2つはほぼ正しい、2つは正しい、またはもっと正しいという4つのオプションのモデルを使用しています)。

オンラインCAには、冗長性と分散チェーンの概念が含まれています。

1
schroeder

オンラインルート証明書は、信頼できる証明書ストアにあります。したがって、発行CA証明書がルートによって信頼されている場合は、発行CAを信頼します。そのため、ルートはオフラインにすることができ、証明書チェーンは引き続き信頼されます

0
EnviableOne