Обычно при внедрении PKI требуется несколько ЦС. ЦС может иметькорневую иерархию или перекрестную, это зависит от бизнес-требований.Корневая иерархияСамая распространенная структура ЦС. В такой иерархии есть корневой (root) ЦС, уникальный тем, что выдает сертификат самому себе.После корневого ЦС идет один или несколько подчиненных ЦС.Корневой ЦС выдает подчиненным ЦС сертификаты, где указано имяподчиненного ЦС (рис. 10-3).Издатель: RootCAСубъект: RootCAИздатель: RootCAСубьект: SubCAИздатель: SubCAСубьект: IssCAРис. 10-3. Корневая иерархия ЦСМожет существовать множество дополнительных уровней ЦС. ЭтиЦС обычно называют издающими (issuing). Корневые иерархии ЦСобеспечивают высшую степень защиты, так как вы можете удалитькорневой ЦС из сети, что защитит его от взлома.Могут возникнуть серьезные последствия, если ЦС ском прометирован и его сертификат нужно отозвать. Отзывается сертификат не только этого ЦС, но и все изданные им сертификаты, включаяизданные подчиненными ЦС — они тоже считаются скомпрометированными и являются недействительными. Убрав корневой ЦС из сети,вы гарантируете защиту всех сертификатов от компрометации егоключа.Перекрестная иерархияВ перекрестной иерархии ЦС действует и как корневой, и как подчиненный. Эта структура используется, когда партнеры хотят доверятьсвоим сертификатам.Перекрестная сертификация в основном применяется в сценариях бизнес — бизнес, когда у партнеров уже имеются иерархии ЦС(рис. 10-4), Перекрестная сертификация позволяет сохранить существующие иерархии, дополнив их партнерскими ЦС.(рис. 10-4), Перекрестная сертификация позволяет сохранить существующие иерархии, дополнив их партнерскими ЦС.
Опубликовал vovan666
March 27 2013 10:33:54 ·
0 Комментариев ·
3809 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.