更新时间:2025-08-25 GMT+08:00

检查私有根CA是否停用

规则详情

表1 规则详情

参数

说明

规则名称

pca-certificate-authority-root-disable

规则展示名

检查私有根CA是否停用

规则描述

私有根CA未停用,视为“不合规”。

标签

pca

规则触发方式

配置变更

规则评估的资源类型

pca.ca

规则参数

应用场景

停用根CA,并且设计合适的私有CA层级结构,可以带来如下优势:

  • 根CA是信任链的核心:根CA的私钥是整个信任链的根基,一旦泄露,攻击者可以签发任意证书,导致整个信任体系崩溃。
  • 减少根CA的使用频率:停用根CA并仅用于签发子CA,可以最大限度地减少根CA私钥的使用频率,降低泄露风险。
  • 隔离风险:子CA可以按部门、业务或环境(如开发、测试、生产)划分,即使某个子CA的私钥泄露,也不会影响其他子CA或根CA。如果子CA私钥泄露,可以快速吊销该子CA及其签发的所有证书,而无需影响根CA或其他子CA。
  • 细粒度的权限控制:可以为不同的子CA设置不同的签发策略和权限,满足不同业务需求。

修复项指导

请禁用根CA,详见禁用私有CA

检测逻辑

  • 私有CA是根CA且未停用,视为“不合规”。
  • 私有CA是根CA且已停用,视为“合规”。
  • 私有CA不是根CA,视为“合规”。