ADCS PKI - Cross-Certification или Bridge CA?
Наша компания приобретается другой компанией, и нам любопытны требования, необходимые для создания решения перекрестной сертификации / мостового CA.
Перекрестная сертификация выдает перекрестную сертификацию. Сертификация Auth. сертификат к корневому ЦС Fabrikam от ЦС-эмитента Contoso.
«Эффект этого сертификата центра перекрестной сертификации состоит в том, что корневой ЦС Fabrikam отображается как подчиненный ЦС ЦС-эмитента Contoso, когда сертификат предоставляется компьютеру в Fabrikam. . "
Есть ли предпочтительный метод и почему?
Вам потребуется простая перекрестная сертификация. Он подходит для простого и удобного «дружбы» двух PKI. Каждая организация сертифицирует перекрестную сертификацию другой организации и публикует перекрестные сертификаты внутри своей организации.
- нет необходимости в двунаправленном доверии AD (при условии, что списки отзыва сертификатов доступны через HTTP, а не LDAP).
- Списки отзыва сертификатов из другой организации должны быть доступны с мобильного устройства из ваша сеть и наоборот.
Простая перекрестная сертификация не очень масштабируема. На практике это будет работать не более чем для 3 полностью подключенных пиров. Чтобы установить полное доверие между всеми сторонами, количество всех выдаваемых перекрестных сертификатов рассчитывается следующим образом: . Другими словами, это топология полного графа.
Когда имеется 4 или более участников, количество выданных перекрестных сертификатов резко возрастает. Вот где помогает мостовое соединение CA. Граф трансформируется в звездообразную топологию, где Мост CA является центром топологии и подключен ко всем участникам одним ребром. Общее количество требуемых перекрестных сертификатов рассчитывается следующим образом:
Каждая сторона выдает единый перекрестный сертификат мостовому CA, а мостовой CA выдает один перекрестный сертификат каждой стороне. Когда другая организация представляет вам свой сертификат, ее цепочка проходит через перекрестный сертификат Bridge CA и заканчивается вашим собственным корневым CA.