更新时间:2022-07-08 GMT+08:00

私有CA层次结构设计

PCA服务中支持创建最多七级的CA层级结构,根CA最多可以有六级从属CA(即子CA或中间CA),但可以有任意数量的分支。一个好的CA层次结构设计,具有以下优势:

  • 让整个PKI(公钥基础设施)体系的管理更加合理、安全。
  • 可实现对证书的精细化控制。
  • 可使PKI体系与自身的业务结构更加贴合,方便后续的迁移与扩展。

PCA服务中您可创建的每种结构的详细说明如表 CA层次结构说明所示,您可以根据实际情况设计对应的CA层次结构。

表1 CA层次结构说明

CA层次结构

描述

说明

单层CA结构

通过根CA直接签发私有证书。

此种结构是不符合安全规范的,往往被用于非生产环境(不需要完整信任链的开发和测试)。

根CA将被频繁使用,密钥材料的泄露风险极高,一旦出现根CA密钥材料泄露的情况,其下所有证书都需要废弃,且所有终端都必须快速从信任的根证书列表中撤掉泄露的根CA,耗时耗力,且严重阻断业务。单层CA结构如图 单层CA结构所示。

两层CA机构

根CA用于签发二级从属CA,二级CA(路径深度设置为0)负责签发私有证书。

此种结构为比较常用的CA层次结构。

CA层次浅,证书链在传输和校验过程中可节省开销,且在根CA与私有证书之间做了隔绝,使用从属CA来签发证书,若单个从属CA泄露,只需将其吊销和替换其下所有的证书即可,不影响其他从属CA的使用,终端也无需撤掉根CA,缩小了泄露事件的影响范围。两层CA结构如图 两层CA结构所示。

三层CA结构

根CA用于签发二级从属CA,二级CA(路径深度设置为1)再向下签发三级从属CA,三级CA(路径长度设置为0)负责签发私有证书。

此种结构也是比较常用的CA层次结构,适合层次结构相对复杂的组织。

三层结构使得证书的分发管理得到精细化控制,PKI体系层次分明,且层次的适当扩展可有效地扩大根CA与私有证书的距离,能更好的保护根CA密钥材料的机密性。三层CA结构如图 三层CA结构所示。

四层到七层的CA结构

根CA用于签发二级从属CA,二级CA(路径深度可设置范围为:5≥路径深度≥2)再向下签发三级从属CA,三级CA(路径深度可设置范围为:4≥路径深度≥1)再向下签发四级从属CA(路径深度可设置范围为:3≥路径深度≥0),以此类推,最后一级负责签发私有证书。

此类结构使用较少。

虽然深层次的结构能使得CA层次更加的细化,但由于层次的加深,导致服务端在与客户端交互时,需要传输较大的证书链,增加了网络传输开销和证书的校验时长。四层到的CA结构如图 四层到七层的CA结构所示。

从属CA的路径深度,即当前CA可以签发下级CA的层次数量,用于控制证书链深度。

图1 单层CA结构
图2 两层CA结构
图3 三层CA结构
图4 四层到七层的CA结构