目前有一个离线 CA 和一个刚刚安装 Web 注册的子颁发 CA。还正在考虑实施 NDES 和 OCSP。
我知道可以在颁发 CA 上安装网络注册,但是就可以一起安装而言,处理实现这一点的最佳方法是什么?
我是否应该关闭 Web 注册并安装 NDES 并将其安装在一台服务器上,将 OCSP 安装在专用服务器上?
我是否应该继续在 Iussuing 上注册手动证书并为 NDES 和 OCSP 设置另外两个服务器,还是 OCSP 应该始终保持独立?
CA- srv1,使用注册 srv2 颁发,NDES/OCSP- srv3
CA- srv1、颁发- srv2、Web 注册/NDES- srv3、OCSP- srv4
CA- srv1,颁发- srv2,Web 注册/NDES/OCSP- srv3
ETC
我试图弄清楚的事情有意义吗?很难找到任何可以显示哪些角色可以一起安装以及从最佳实践的角度来看哪些角色应该始终分开的东西。
答案1
这可能与主题无关,因为这是一种容量规划问题,但如何设置它在很大程度上取决于它的使用频率。由于您只计划拥有一个颁发 CA,所以我希望它可能不会被过度使用。如果您愿意,您可以在一台机器上设置所有内容,这样就回答了您的问题。但你真的想这样做吗?这是另一个问题。为什么您要在一台服务器上设置所有内容?例如,在线响应器专门用于无法访问 CA(CRL 分发点所在的位置)以检查证书吊销的设备……因此将其放在同一台服务器上是没有意义的。或者,如果您有一个庞大的网络,并且您想分配 CRL 检查的负载,但由于您只有一个颁发 CA,所以这是值得怀疑的。