公钥基础结构 (PKI) 是一种数字证书、证书颁发机构 (CA) 和注册机构的系统,通过使用公钥加密检查和验证电子事务中涉及到的每个实体的有效性。PKI 的标准仍在发展,即使它们被作为电子商务的必要元素广泛实现。有关计划 PKI 和使用公钥加密的详细信息,请参阅 Active Directory 证书服务资源。
Microsoft PKI 支持可缩放的分层 CA 模型,为日益增长的许多商业和其他 CA 产品提供一致性。
在其最简单的形式中,证书层次结构包含单个 CA。然而,层次结构通常包括具有清晰定义的父/子关系的多个 CA。在此模型中,子从属 CA 由其父 CA 颁发的证书(该证书将 CA 的公钥绑定到其标识)认证。层次结构顶部的 CA 称为根 CA。根 CA 的子 CA 称为从属 CA。有关详细信息,请参阅证书颁发机构的类型。
在 Windows 中,如果您信任根 CA(通过使其证书位于“受信任的根证书颁发机构”证书存储中),则信任层次结构中具有有效 CA 证书的每个从属 CA。因此,根 CA 是组织中非常重要的信任点,应相应给予保护。有关详细信息,请参阅 CA 证书。
存在设置多个从属 CA 的多种特定原因,包括:
-
用法。可能针对多种用途颁发证书,如保护电子邮件和网络身份验证的安全。这些用途的颁发策略可能截然不同,分隔提供管理这些策略的基础。
-
组织划分。可能存在用于颁发证书的不同策略,具体取决于组织中实体的角色。同样,可以创建从属 CA 以分隔和管理这些策略。
-
地理划分。组织可能在多个物理站点具有实体。这些站点之间的网络连接可能需要多个或所有站点的单个从属 CA。
-
负载平衡。如果 PKI 将用于颁发和管理大量证书,则仅具有一个 CA 可能导致该单个 CA 的相当多的网络负载。使用多个从属 CA 颁发相同种类的证书会划分 CA 之间的网络负载。
-
备份和容错。多个 CA 增加了网络始终使运行的 CA 可用于响应用户请求的可能性。
CA 层次结构还可以提供管理优势,包括:
-
CA 安全环境的灵活配置,用于定制安全和可用性之间的平衡。例如,您可能选择采用根 CA 上特殊用途的加密硬件,在物理安全区域运行它,或脱机运行它。由于对成本或可用性考虑,这些对从属 CA 可能无法接受。
-
“关闭” CA 层次结构的特定部分而不影响已建立的信任关系的能力。例如,您可以轻松关闭和吊销与特定业务部门相关的颁发 CA 证书,而不影响组织的其他部分。