Certificate 我可以从根CA创建证书链吗_Certificate_Ssl Certificate_X509certificate_Digicert

Certificate 我可以从根CA创建证书链吗

certificate

Certificate 我可以从根CA创建证书链吗,certificate,ssl-certificate,x509certificate,digicert,Certificate,Ssl Certificate,X509certificate,Digicert,这听起来可能是个愚蠢的问题，但这是我第一次研究这个话题。是否可以创建证书链因此，目前我们有这样的结构： Root CA --> Intermediate CA --> Issues certificates 这是我们想要的结构： Root CA --> Intermediate CA --> Another Intermediate CA --> Issue certs --> Another Int

这听起来可能是个愚蠢的问题，但这是我第一次研究这个话题。是否可以创建证书链

因此，目前我们有这样的结构：

Root CA --> Intermediate CA --> Issues certificates

这是我们想要的结构：

Root CA --> Intermediate CA --> Another Intermediate CA --> Issue certs
                            --> Another Intermediate CA --> Issue certs
                            --> Another Intermediate CA --> Issue certs

我做了一些研究，但我不能确定这种链式结构是否可行

我们希望有一个根CA，然后是部门的中间产品，然后是部门内项目的其他中间产品。如果发生损坏，它将有助于区分损坏。

CA层次结构组织与文件夹组织类似，有其特定的规则。每增加一个CA都会增加管理成本。每增加一层都会增加证书链验证时间。因此，您需要保持尽可能少的CAs和尽可能短的链

建议的最低配置为两层：

Root CA --> Policy/Issuing CA --> End Entities

根CA应脱机，不连接到任何网络，使用HSM并保存在安全的房间中。根CA的丢失/泄露导致整个PKI崩溃，而没有任何机会撤销它。这就是为什么根CA通常只向其他CA而不是终端实体颁发证书的原因。大多数情况下，它是关闭的，并且仅在证书续订和CRL发布期间打开

策略/颁发CA构建在根目录下，直接与最终实体（证书使用者或订阅者）协作。从逻辑上讲，它安装在大多数客户端附近。它已启用并全天候运行。物理安全性与根CA相同：安全房间、HSM（个人或网络HSM）、对设备的严格物理访问。颁发CA的折衷方案仍然不好，但可以恢复。至少，只有部分PKI受到破坏（特定链），您可以撤销受损的CA证书，而无需到处替换根

如果部门需要单独的CA，请执行以下操作：

Root CA --> Policy/Issuing CA 1 --> End Entities
        --> Policy/Issuing CA 2 --> End Entities
        --> Policy/Issuing CA 3 --> End Entities

这种配置没有问题。

您确定需要这种复杂性吗？如果需要多个颁发CA，可以直接在根目录下构建它们。链条应尽可能短，2层适合大多数要求。@Crypt32谢谢回复。是否有一个特定的原因来解释为什么不首选两层以上的层次结构？因为它是无用的，并且由于链构建和验证的时间增加而对客户产生负面影响。试着回答自己：中间CA在您提出的设计中起什么作用？如果答案是“没什么”，你就不需要它了。我们有具体的用例，所以我试图了解更多关于这方面的信息。我们有一个部门，有专门的产品。我们有根CA和特定于IoT项目的中间CA。现在他们有很多产品，每个人都想要自己的中间产品。所以我们认为最好有根和一个Iot公共CA和一个部门中间CA，然后将其与产品中间CA链接。但是，如果它导致链构建时间的增加，您会建议我们有一个根和几个与产品对应的中间产物吗。分组不是必需的。