Наша компания приобретается другой компанией, и нам любопытны требования, необходимые для создания решения перекрестной сертификации / мостового CA.
Перекрестная сертификация выдает перекрестную сертификацию. Сертификация Auth. сертификат к корневому ЦС Fabrikam от ЦС-эмитента Contoso.
«Эффект этого сертификата центра перекрестной сертификации состоит в том, что корневой ЦС Fabrikam отображается как подчиненный ЦС ЦС-эмитента Contoso, когда сертификат предоставляется компьютеру в Fabrikam. . "
Есть ли предпочтительный метод и почему?
Вам потребуется простая перекрестная сертификация. Он подходит для простого и удобного «дружбы» двух PKI. Каждая организация сертифицирует перекрестную сертификацию другой организации и публикует перекрестные сертификаты внутри своей организации.
Простая перекрестная сертификация не очень масштабируема. На практике это будет работать не более чем для 3 полностью подключенных пиров. Чтобы установить полное доверие между всеми сторонами, количество всех выдаваемых перекрестных сертификатов рассчитывается следующим образом: . Другими словами, это топология полного графа.
Когда имеется 4 или более участников, количество выданных перекрестных сертификатов резко возрастает. Вот где помогает мостовое соединение CA. Граф трансформируется в звездообразную топологию, где Мост CA является центром топологии и подключен ко всем участникам одним ребром. Общее количество требуемых перекрестных сертификатов рассчитывается следующим образом:
Каждая сторона выдает единый перекрестный сертификат мостовому CA, а мостовой CA выдает один перекрестный сертификат каждой стороне. Когда другая организация представляет вам свой сертификат, ее цепочка проходит через перекрестный сертификат Bridge CA и заканчивается вашим собственным корневым CA.