我可以从根 CA 创建证书链吗答案

【问题标题】：Can I create a chain of certificates from Root CA我可以从根 CA 创建证书链吗
【发布时间】：2019-12-19 02:37:46
【问题描述】：

这听起来像是一个愚蠢的问题，但这是我第一次研究这个主题。是否可以创建证书链。

所以目前我们有这样的结构：

Root CA --> Intermediate CA --> Issues certificates

这是我们想要的结构：

Root CA --> Intermediate CA --> Another Intermediate CA --> Issue certs
                            --> Another Intermediate CA --> Issue certs
                            --> Another Intermediate CA --> Issue certs

我做了一些研究，但我无法确定这种链接结构是否可行。

我们希望有一个根 CA，然后是一个部门的中间人，然后是部门内项目的其他中间人。如果完成，它将有助于划分任何损坏。

【问题讨论】：

您确定需要这种复杂性吗？如果需要多个颁发 CA，您可以直接在根目录下构建它们。链条应尽可能短，并且 2 层适合大多数要求。
@Crypt32 感谢您的回复。为什么不首选 2 层以上的层次结构是否有具体原因？
因为它是无用的，并且由于链构建和验证时间增加而对客户产生负面影响。试着回答你自己：你提议的设计中的中间 CA 是什么？如果答案是“什么都没有”，你就不需要它。
我们有特定的用例，所以我想了解更多关于这个的信息。我们有一个拥有特定产品的部门。我们有根 CA 和特定于我们的 IoT 项目的中间体。现在他们有很多产品，每个人都想要自己的中间体。所以我们认为最好有根和一个物联网通用 CA 和一个部门中间 CA，然后将它们与产品中间 CA 链接起来。但是如果它导致链构建时间增加，您是否建议我们有一个根和几个与产品相对应的中间体。不需要分组。

标签： certificate ssl-certificate x509certificate digicert

【解决方案1】：

CA 层次结构类似于具有特定规则的文件夹组织。每个额外的 CA 都会增加管理成本。每个新层都会增加证书链验证时间。因此，您需要保持尽可能少的 CA 和尽可能短的链。

推荐的最低配置是两层：

Root CA --> Policy/Issuing CA --> End Entities

根 CA 应处于脱机状态、未连接到任何网络、使用 HSM 并保存在安全的房间中。根 CA 的丢失/妥协会导致整个 PKI 崩溃，而没有任何机会撤销它。这就是为什么根 CA 通常只向其他 CA 颁发证书，而不是最终实体。大多数时候它是关闭的，仅在证书更新和 CRL 发布期间打开。

Policy/Issuing CA 在根目录下构建，并直接与最终实体（证书消费者或订阅者）一起使用。从逻辑上讲，它安装在大多数客户端附近。它已启用并 24/7 全天候运行。物理安全性与根 CA 相同：安全房间、HSM（个人或网络-hsm）、对设备的严格物理访问。颁发 CA 的妥协仍然很糟糕，但可以恢复。至少，只有部分 PKI 被泄露（特定链），您可以撤销被泄露的 CA 证书，而无需在任何地方替换根。

如果您需要单独的 CA 部门，请这样做：

Root CA --> Policy/Issuing CA 1 --> End Entities
        --> Policy/Issuing CA 2 --> End Entities
        --> Policy/Issuing CA 3 --> End Entities

这样的配置没有问题。

【讨论】：