根據我在周圍看到的許多建議，this，that .etc。最佳實踐是出於非常容易理解的原因使根 CA 保持離線狀態。

但它怎麼可能真正離線呢？根 ca 是否沒有它信任的 int cas 列表。因此，當使用者訪問網站時，必須完成鏈。那麼那裡有對根 CA 的查詢？我確定在某個地方我缺少答案。

離線 root ca 設置可能如下所示：

創建根 CA

這應該在與任何外部網路斷開連接的 PC 上完成，並且在大多數情況下是在HSM上完成。

這部分有時是公開完成的，以防止任何人弄亂根 ca ( https://www.iana.org/dnssec/ceremonies )

創建 1 個或多個中間 CA

對於此步驟，您仍然在包含根 CA 或連接到 HSM 的氣隙PC 上。

該過程與根 CA 的過程相同，只是中間 CA 由根 CA 簽名。

導出密鑰

在此步驟中，CA 的證書被導出到磁碟（例如以前的空白 CD）上。

這也是導出中間 CA 的步驟（公鑰和私鑰）

$$ Note: If the intermediate CA’s, where also generated on HSM’s, these can in most cases just be unplugged and transported to there new owners $$ 保護根 CA

現在，CA 生成和導出已完成，您可以關閉根 CA PC/HSM 並將其安全地移開。

發布密鑰

最後一步是分發 CA 證書。這可以很簡單，就像在您的網站上發布一樣。

實際使用

如果需要創建新證書，可以由中間 CA 完成。

因此，這些證書的任何後續撤銷也可以由這些中間 CA 完成。

由於這些中間 CA 也可以“線上”，因此可以將它們用於OCSP。

正如您之前所描述的，可以創建一個僅用於 OCSP/CLR 的中間 CA。

中間 CA 妥協

在妥協的情況下，根 CA 可以在其氣隙環境中“線上”，然後用於簽署中間 CA 的撤銷。然後可以再次發布此吊銷證書，方法是首先通過安全媒體將其傳輸到連接網際網路的設備。

離線操作的一個缺點是根 CA 無法託管證書撤銷列表（因為它無法通過 HTTP、LDAP 或 OCSP 等協議響應 CRL 請求）。但是，可以將證書驗證功能轉移到由離線根 CA 授權的專用驗證機構中。

我想我已經找到答案了，如果我的答案是錯誤的，我仍然會非常感謝任何輸入和 lmk

引用自：https://crypto.stackexchange.com/questions/101398