更新时间:2025-08-25 GMT+08:00
检查私有根CA是否停用
规则详情
参数 |
说明 |
---|---|
规则名称 |
pca-certificate-authority-root-disable |
规则展示名 |
检查私有根CA是否停用 |
规则描述 |
私有根CA未停用,视为“不合规”。 |
标签 |
pca |
规则触发方式 |
配置变更 |
规则评估的资源类型 |
pca.ca |
规则参数 |
无 |
应用场景
停用根CA,并且设计合适的私有CA层级结构,可以带来如下优势:
- 根CA是信任链的核心:根CA的私钥是整个信任链的根基,一旦泄露,攻击者可以签发任意证书,导致整个信任体系崩溃。
- 减少根CA的使用频率:停用根CA并仅用于签发子CA,可以最大限度地减少根CA私钥的使用频率,降低泄露风险。
- 隔离风险:子CA可以按部门、业务或环境(如开发、测试、生产)划分,即使某个子CA的私钥泄露,也不会影响其他子CA或根CA。如果子CA私钥泄露,可以快速吊销该子CA及其签发的所有证书,而无需影响根CA或其他子CA。
- 细粒度的权限控制:可以为不同的子CA设置不同的签发策略和权限,满足不同业务需求。
修复项指导
请禁用根CA,详见禁用私有CA。
检测逻辑
- 私有CA是根CA且未停用,视为“不合规”。
- 私有CA是根CA且已停用,视为“合规”。
- 私有CA不是根CA,视为“合规”。
父主题: 云证书管理服务 CCM