我们的公司正在被另一家公司收购,我们对创建交叉认证/桥接 CA 解决方案所需的要求感到好奇。
交叉认证正在从 Contoso 的颁发 CA 向 Fabrikam 的根 CA 颁发交叉认证身份验证证书。
“此交叉证书颁发机构证书的效果是,当证书提交给 Fabrikam 的计算机时,Fabrikam 根 CA 将显示为 Contoso 颁发 CA 的从属 CA。”
是否有首选方法以及为什么?
答案1
您将需要简单的交叉认证。它适合以简单方便的方式“结交”两个 PKI。每个组织都对其他组织进行交叉认证,并在其组织内发布交叉证书。
- 不需要双向 AD 信任(假设 CRL 可以通过 HTTP 访问,而不是 LDAP)
- 必须可以从您的网络访问来自其他组织的 CRL,反之亦然。
简单的交叉认证可扩展性不强。实际上,它最多适用于 3 个完全连接的对等体。为了在各方之间建立完全信任,需要颁发的所有交叉证书的数量按以下方式计算:。换句话说,它是一个完整的图拓扑。
当参与者人数达到 4 人或更多时,颁发的交叉证书总数会急剧增加。这就是 CA 桥接的用武之地。该图转换为星型拓扑,其中 Bridge CA 是拓扑的中心,它通过单边连接到所有参与者。所需交叉证书总数计算如下:
各方向 Bridge CA 颁发单个交叉证书,而 Bridge CA 又向各方颁发单个交叉证书。当其他组织向您出示其证书时,其证书链将通过 Bridge CA 交叉证书循环,最终到达您自己的根 CA。