web-dev-qa-db-ja.com

下位の認証局の背後にある目的

私の勤務先では、マイクロソフト製品を使用してPKIインフラストラクチャをセットアップしています。ここには完全にきれいなスレートがあり、良いスタートを切りたいと思っています。なぜ誰かが下位のCAを設定するのか疑問に思っています。すべてにルートCAを使用してみませんか?下位CAを設定することにはどのような利点がありますか?

ありがとう。

7
James Jones

一般的に、少なくとも2つの層を持つことをお勧めします。ルートCAと下位の発行CA。発行CAはすべての証明書をマシンまたはユーザーに発行し、ルートは下位CA証明書を発行します。これは、新しい下位CAをコミッショニングしていないときにルートをオフにし、ネットワークからルートを切り離し、ボールトにロックして、大きな怖いサインを入れることで、そのルートを保護できることを意味します。質問は、なぜあなたはこれをしたいのですか?

証明書の目的は多くのことを行うことですが、1つはある人またはキットの一部を別の人に対して認証することです。証明書がこれを行う方法は、秘密鍵を使用してデータに署名し、証明書の公開鍵を使用してこの署名を確認できるようにすることです。検証されれば、秘密鍵を持っているのはソースだけなので、ソースを信頼できることがわかります。問題は、証明書と公開鍵をどのように信頼できるかということです。発行CAの秘密鍵で署名されているため、これを信頼できます。これの結果は、CAが危険にさらされた場合、何も信頼できないということです。

したがって、サブCAとオフラインルートの利点は、ルートCAと関連するキーを危険にさらすことはほとんど不可能であるということです。サブCAの1つが危険にさらされている場合は、発行元のサブCAを取り消して、別のサブCAを作成し、証明書とCRLを再発行します。侵害されたCAから発行されたすべての証明書は破棄されなくなります。ルートが危険にさらされていて、そうでないときにインフラストラクチャに接続していると人々が信頼してしまう可能性がある場合、これを行うことはできません。

12
Mark Sutton