Назад | Перейти на главную страницу

Назначение подчиненных центров сертификации

По месту работы мы настраиваем инфраструктуру PKI с использованием продуктов Microsoft. У нас здесь все с чистого листа, и мы хотим хорошо начать. Нам интересно, зачем кому-то создавать подчиненные центры сертификации. Почему бы не использовать корневой ЦС для всего? Какие преимущества существуют для создания подчиненных центров сертификации?

Спасибо.

Обычно считается хорошей практикой иметь как минимум 2 уровня. Корневой ЦС и подчиненные выдающие ЦС. Центры сертификации выдают все сертификаты вашим машинам или пользователям, а корневой центр выдает сертификаты подчиненных центров сертификации. Это означает, что вы можете отключить корень, когда не вводите в эксплуатацию новый подчиненный ЦС, и защитить этот корень, отсоединив его от сети, заблокировав в хранилище и поставив большие страшные подписи. Вопрос в том, зачем вам это делать?

Сертификаты предназначены для выполнения ряда задач, но одна из них - для аутентификации одного человека или предмета оборудования для другого. Сертификат делает это, подписывая данные приватным ключом и позволяя вам проверить эту подпись публичным ключом в сертификате. Если он проходит проверку, то вы знаете, что источнику можно доверять, поскольку только у него будет закрытый ключ. Тогда возникает вопрос, как я могу доверять сертификату и открытому ключу. Вы можете доверять этому, потому что он подписан закрытым ключом выдающего CA. В результате, если ваши центры сертификации скомпрометированы, вы ничему не можете доверять.

Таким образом, преимущество подчиненного CA и автономного корневого сервера состоит в том, что ваш корневой CA и связанные ключи практически невозможно скомпрометировать. Если одна из ваших подсистем была скомпрометирована, вы просто отменяете выдающую вспомогательную службу и создаете другую, повторно выпуская свои сертификаты и CRL. Все сертификаты, выданные скомпрометированным ЦС, больше не будут передаваться. Вы не можете этого сделать, если ваш корень был скомпрометирован, и люди могут в конечном итоге поверить, что они подключаются к вашей инфраструктуре, хотя это не так.