这听起来像是一个愚蠢的问题,但这是我第一次对此主题进行研究。是否可以创建证书链。
所以目前我们有这样的结构:
sudo gitlab-ctl reconfigure这是我们想要的结构:
Root CA --> Intermediate CA --> Issues certificates
我做了一些研究,但是我无法确定这种链接结构是否可行。
我们希望在某个部门的中间节点以及该部门内项目的其他中间节点具有根CA。如果完成的话,它将有助于将任何损害隔离开。
答案 0 :(得分:1)
CA层次结构的组织与文件夹组织类似,但具有特定的规则。每增加一个CA,都会增加管理成本。每个新层都会增加证书链验证时间。因此,您需要保持合理的数量,以保持最小的CA和较短的链。
推荐的最低配置为两层:
Root CA --> Policy/Issuing CA --> End Entities
根CA应该是脱机的,不能连接到任何网络,必须使用HSM并保存在安全的房间中。根CA的丢失/损坏会导致整个PKI崩溃,而没有任何机会撤销它。这就是为什么根CA通常仅向其他CA颁发证书而不向最终实体颁发证书的原因。大多数情况下,它是关闭的,并且仅在证书更新和CRL发布期间才打开。
策略/颁发CA在根目录下构建,并直接与最终实体(证书使用者或订户)一起使用。从逻辑上讲,它安装在大多数客户端附近。它启用并以24/7运行。物理安全性与根CA相同:安全室,HSM(个人或net-hsm),对设备的严格物理访问。颁发CA的折衷方案仍然很糟糕,但是可以恢复。至少,只有部分PKI被泄露(特定链),并且您可以吊销被破坏的CA证书,而不必到处替换root。
如果您需要单独的CA进行划分,请执行以下操作:
Root CA --> Policy/Issuing CA 1 --> End Entities
--> Policy/Issuing CA 2 --> End Entities
--> Policy/Issuing CA 3 --> End Entities
这种配置没有错。