我愿意为我的私人环境(测试目的)安装一个根 CA 和一个带有 AD CS 的颁发 CA。
我是否需要获取公共 OID(即来自 IANA)或者我可以跳过此要求,因为我的 CA 在我的域内是私有的?
答案1
对于私人或测试环境,您可以使用虚构的对象标识符。
为了:
- 公共环境
或者
- 您有可能与另一家公司建立 PKI 信任关系(例如通过交叉认证)
我建议从 IANA 获取一个免费的公开注册的 OID:https://pen.iana.org/pen/PenApplication.page
答案2
虽然可以免费获得 OID,但你应该不是将其应用到您的根 CA。
OID 应用于证书配置文件(或 Microsoft 语言中的模板),以使在该配置文件下创建的证书与证书策略保持一致。
政策将指定其所涵盖的证书的生成和管理的要求,例如强制使用智能卡来存储用户的私钥或在颁发证书之前进行身份检查的标准。
在 CA 的整个生命周期中,您可能拥有多个策略,并且可能会随着时间的推移添加更多策略。如果您向根 CA 添加一个 OID(或多个 OID),那么它们将一成不变,您以后无法更改/添加,除非重新签发根 CA 证书。
即使您认为只需要一些策略,并因此在开始时将它们全部添加到根 CA,但您的组织很可能会在将来的某个时候合并,届时您在根 CA 上的策略可能不再有效。
最好让你的根证书不带有任何 OID,并在颁发 CA 和最终实体证书处分配它们。