none
层级证书颁发机构 RRS feed

  • 问题

  • 请问,我现在想搭建一个层级证书颁发机构,请问这个有什么好处,是不是说父级下层证书颁发机构颁发机构颁发的证书,他们的私钥是不是保存在父级证书颁发机构里,只能由父级颁发机构能够恢复呢?谢谢!
    2012年9月4日 3:46

答案

  • 不是。上级证书服务器最初会给下级证书服务器一个证书,使其有权以此证书权链的名义颁发证书。

    分层证书颁发是为了安全结构。根证书服务器是链的根本,所以除授权下级服务器以外,尽量不上线。(虚拟机,设置完下级服务器直接关机)。吊销或续期给下级服务器的证书时才再开机。

    需要注意,根据实际使用情况来看,根证书服务器以使用命令行和设置文件安装为宜。具体参见文档。

    2012年9月4日 7:55
  • 严重更正:安装在企业版上的CA,可以设置为要求对基于以加密,签名与加密为目的的第二,第三版模板的证书进行私钥存档。客户端私钥加密传输至服务器,服务器拿到私钥后加密存储至数据库。在需要时,有足够权限的用户可以恢复导出私钥和证书。加解密都不再是问题。对可能的服务器安全问题,可能的解决方法是,将私钥加解密时需要的密钥恢复代理证书导出为文件另存,并删除服务器上相关信息,或使用智能卡存储。

    对前面有误导性的言论深表惭愧,总是偷懒不行嗐

    回来说根服务器,因为私钥与证书数据库是存放在颁发证书的CA上,在分层CA结构里,则应在根服务器的下层服务器里,根服务器拿不到数据库就无法介入,这是其与此事的关系。

    对主贴提出的问题,回答应为:颁发证书的CA可以存档和恢复自己所颁发的部分证书及私钥。

    2012年9月11日 7:53

全部回复

  • 不是。上级证书服务器最初会给下级证书服务器一个证书,使其有权以此证书权链的名义颁发证书。

    分层证书颁发是为了安全结构。根证书服务器是链的根本,所以除授权下级服务器以外,尽量不上线。(虚拟机,设置完下级服务器直接关机)。吊销或续期给下级服务器的证书时才再开机。

    需要注意,根据实际使用情况来看,根证书服务器以使用命令行和设置文件安装为宜。具体参见文档。

    2012年9月4日 7:55
  • 请问下,为什么说根证书颁发机构尽量不上线呢,是不是根证书颁发机构可以解密下级证书颁发机构颁发的证书所加密的文件呢?非常感谢!

    2012年9月4日 11:16
  • 如果根证书服务器出问题的话,那整个证书链都不可靠。别人要远程怎么样你的服务器,总得先开机才行。当然要是有人能来拆了硬盘,那就是另一回事了。如果这样真的安全性要求还要高的话,可以BitLocker。

    我在手边的环境里暂时试了一下,颁发服务器应该不能导出所颁发证书的私钥。架设设置已经过了挺长时间的了,我现在不能确定是否有设置可以让其能够导出。嗯,记得不够清。

    解密需要与加密秘钥相对应的密钥,通常是私钥。只要知道了相应的密钥,理论上都可以解密。并不是具体的机器的问题。

    2012年9月4日 14:48
  • 谢谢,如果根证书服务器出问题的话,那整个证书链都不可靠,这主要表现在哪些方面呢?
    2012年9月4日 16:56
  • 上一篇好像理解错你的意思了。既然根服务器可以不在线,那说明它应该不参与下级证书的操作,那就不会有客户端的证书的私钥,就无法解密了。

    证书链和信任关系互关的。别人是信任你,才信任你管理的服务器,信任由你的服务器颁发的证书,以及由产生的证书链。要是有不受信的其他人员也可以操作你的机器,那对客户来说实际上你的证书链自然就是不值得信任的。

    可以参见河蟹国某证书机构(但,它不是被第三方怎么样,而是本身搞事无下限,在此处关系是,信任───!信任)的表忠心行为,明白此事的人都可把它,和授权给它的外国机构视作无信LJ。

    2012年9月5日 8:08
  • 请问,我现在想搭建一个层级证书颁发机构,请问这个有什么好处,是不是说父级下层证书颁发机构颁发机构颁发的证书,他们的私钥是不是保存在父级证书颁发机构里,只能由父级颁发机构能够恢复呢?谢谢!

    2012年9月5日 11:20
  • 谢谢!实际上你还是没有说出重点,我只想知道别人如果能够操作我的根服务器,他会怎么去利用,怎么去伪造?

    2012年9月8日 17:20
  • 可以说你认定A是A,B是B,你就把A证书发给A,B的给B。别人则会把A的给C。实际上要利用当然要有很多要做的,比如对网站,就还要处理URL。

    对前面担心的私钥问题。从证书申请的原理上来说,客户端是不会把自己的私钥传给证书服务器的。对此可不必太担心了。

    不过又发现了CA设置里有Archive Subject's Encryption Private Key选项,具体作用待查。

    如果你要使用的坏境简单,用户不非常多,就使单层用也行,服务器一直在线。一建议是用户300以下,这个可考虑。

    为了以后可能的迁移,尽量不要装在域控上。还有因为单层只有一台服务器,没有冗余与,所以要做好备份。


    • 已编辑 Flug 2012年9月10日 16:01 内容更新
    2012年9月10日 11:27
  • 严重更正:安装在企业版上的CA,可以设置为要求对基于以加密,签名与加密为目的的第二,第三版模板的证书进行私钥存档。客户端私钥加密传输至服务器,服务器拿到私钥后加密存储至数据库。在需要时,有足够权限的用户可以恢复导出私钥和证书。加解密都不再是问题。对可能的服务器安全问题,可能的解决方法是,将私钥加解密时需要的密钥恢复代理证书导出为文件另存,并删除服务器上相关信息,或使用智能卡存储。

    对前面有误导性的言论深表惭愧,总是偷懒不行嗐

    回来说根服务器,因为私钥与证书数据库是存放在颁发证书的CA上,在分层CA结构里,则应在根服务器的下层服务器里,根服务器拿不到数据库就无法介入,这是其与此事的关系。

    对主贴提出的问题,回答应为:颁发证书的CA可以存档和恢复自己所颁发的部分证书及私钥。

    2012年9月11日 7:53