我正在尝试设置两层 PKI,我有很多问题。由于 AD 存在墓碑限制,我假设根(将处于离线状态)不应成为 AD 的一部分。我说得对吗?
我考虑的设置是一个根 CA 和多个中间 CA(用于不同目的)。因此,根 CA 可以是独立的 Windows 标准或 Linux + OpenSSL(不知道这是否可行/可取)。其中一个中间 CA 将成为 AD 的一部分(自动注册等)。
所以,我的问题是:
根可以独立存在(不是 AD 的一部分)吗?这会导致证书链等出现问题吗?
根可以是 Linux + OpenSSL 吗?这会更难管理吗?
或者有没有什么办法可以解决墓碑限制的问题?
谢谢。
看 :http://blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx[1]和http://pki-tutorial.readthedocs.org/en/latest/advanced/index.html[2]以供参考。
答案1
微软指定脱机根 CA 计算机不应是域的成员,因此它不会给您带来任何问题,并且它使整个 AD 墓碑寿命问题变得毫无意义。即:
设置运行 Windows 的服务器,用于根证书颁发机构。该服务器不应是任何域的成员,应与网络断开连接,并且应在物理上安全。
我还没有尝试对 OpenSSL 和 Windows CA 进行广泛的互操作性测试,但原则上,它应该可以正常工作——它们都是基于标准的 PKI。当然,我已经使用 OpenSSL 为 Windows 服务器签署了很多次证书,没有任何不良影响。只要您习惯使用 OpenSSL 工具为您的第二层 CA 颁发证书,它就不会给您带来任何特定的管理问题。
我认为使用一套工具部署根 CA 和使用另一套工具部署中间 CA 并没有什么特别的价值。你当然可以,但我看不出这能给你带来什么“好处”。
答案2
我正在尝试设置两层 PKI,我有很多问题。由于 AD 存在墓碑限制,我假设根(将处于离线状态)不应成为 AD 的一部分。我说得对吗?
正确。您的离线根 CA 将是一台工作组计算机。您只会在更新颁发 CA 证书和发布 CRL 时才启用它。您通常会通过 GPO 将根的公钥/证书分发给所有客户端。
我考虑的设置是一个根 CA 和多个中间 CA(用于不同目的)。因此,根 CA 可以是独立的 Windows 标准或 Linux + OpenSSL(不知道这是否可行/可取)。其中一个中间 CA 将成为 AD 的一部分(自动注册等)。
我不会尝试将 Windows 和 Linux 混合搭配在一个 PKI 中。这样做没有任何好处,只会使 PKI 的管理更加复杂。