Цель позади зависимых Центров сертификации

Его обычно продуманная хорошая практика, чтобы иметь по крайней мере 2 Уровня. Корень приблизительно и зависимая АВАРИЯ издания. АВАРИЯ издания выпускает все сертификаты Вашим машинам или пользователям и основным проблемам зависимые сертификаты CA. Это означает, что можно выключить корень, если не уполномочив новый зависимый CA, и защитить тот корень путем отсоединения его из сети, блокировки его в хранилище и подъема больших страшных знаков. Вопрос состоит в том, почему Вы хотели бы сделать это?

Цель сертификатов состоит в том, чтобы сделать много вещей, но нужно аутентифицировать одного человека или часть набора другому. Путем сертификат делает это, подписывая данные с частным ключом и позволяя Вам проверить эту подпись с открытым ключом в сертификате. Если бы это проверяет затем, Вы знаете, что источнику можно доверять как, только это имело бы закрытый ключ. Вопрос затем становится, как я могу доверять сертификату и открытому ключу. Можно доверять этому потому что его со знаком с закрытым ключом издания Приблизительно. Результат этого - то, если Ваша АВАРИЯ поставлена под угрозу, Вы ничему не можете доверять.

Преимущество поэтому подCA и офлайнового корня - то, что Ваш корень приблизительно и связанные ключи почти невозможно поставить под угрозу. Если одна из Вашей подаварии поставлена под угрозу затем, Вы просто отменяете издание подприблизительно и создаете другой, переиздавая Ваши сертификаты и crls. Все сертификаты, выпущенные от поставленного под угрозу CA, больше не будут trsuted. Вы наклоняетесь, делают это, если Ваш корень был поставлен под угрозу, и люди могли бы закончить тем, что положили, что они соединяются с Вашей инфраструктурой, когда они не.