根 CA 如何保持離線並正常執行
根據我在周圍看到的許多建議,this,that .etc。最佳實踐是出於非常容易理解的原因使根 CA 保持離線狀態。
但它怎麼可能真正離線呢?根 ca 是否沒有它信任的 int cas 列表。因此,當使用者訪問網站時,必須完成鏈。那麼那裡有對根 CA 的查詢?我確定在某個地方我缺少答案。
離線 root ca 設置可能如下所示:
創建根 CA
這應該在與任何外部網路斷開連接的 PC 上完成,並且在大多數情況下是在HSM上完成。
這部分有時是公開完成的,以防止任何人弄亂根 ca ( https://www.iana.org/dnssec/ceremonies )
創建 1 個或多個中間 CA
對於此步驟,您仍然在包含根 CA 或連接到 HSM 的氣隙PC 上。
該過程與根 CA 的過程相同,只是中間 CA 由根 CA 簽名。
導出密鑰
在此步驟中,CA 的證書被導出到磁碟(例如以前的空白 CD)上。
這也是導出中間 CA 的步驟(公鑰和私鑰)
$$ Note: If the intermediate CA’s, where also generated on HSM’s, these can in most cases just be unplugged and transported to there new owners $$ 保護根 CA
現在,CA 生成和導出已完成,您可以關閉根 CA PC/HSM 並將其安全地移開。
發布密鑰
最後一步是分發 CA 證書。這可以很簡單,就像在您的網站上發布一樣。
實際使用
如果需要創建新證書,可以由中間 CA 完成。
因此,這些證書的任何後續撤銷也可以由這些中間 CA 完成。
由於這些中間 CA 也可以“線上”,因此可以將它們用於OCSP。
正如您之前所描述的,可以創建一個僅用於 OCSP/CLR 的中間 CA。
中間 CA 妥協
在妥協的情況下,根 CA 可以在其氣隙環境中“線上”,然後用於簽署中間 CA 的撤銷。然後可以再次發布此吊銷證書,方法是首先通過安全媒體將其傳輸到連接網際網路的設備。
離線操作的一個缺點是根 CA 無法託管證書撤銷列表(因為它無法通過 HTTP、LDAP 或 OCSP 等協議響應 CRL 請求)。但是,可以將證書驗證功能轉移到由離線根 CA 授權的專用驗證機構中。
我想我已經找到答案了,如果我的答案是錯誤的,我仍然會非常感謝任何輸入和 lmk