5.2. 定义证书颁发机构层次结构

将证书系统 CA 链接到第三方公共 CA 引入了对公共 CA 放置在从属 CA 可能发布的证书类型上的限制，以及证书链的性质。例如，链到第三方 CA 的 CA 可能会限制为仅发出安全多用途互联网邮件扩展(S/MIME)和 SSL/TLS 客户端身份验证证书，但不提供 SSL/TLS 服务器证书。使用公共 CA 还有其他可能的限制。对于某些 PKI 部署，这可能可接受。

与公共 CA 链的一个好处是第三方负责将 root CA 证书提交到 Web 浏览器或其他客户端软件。对于带有无法由管理员控制的不同公司访问的证书，这是一项主要优势。在 CA 层次结构中创建 root CA 意味着本地机构必须将 root 证书获取到所有浏览器中，以使用证书系统发布的证书。在内部网内有一些工具，但使用 extranet 很难完成此操作。

证书系统 CA 可以充当 root CA，这意味着服务器签署自己的 CA 签名证书和其他 CA 签名证书，从而创建特定于组织的 CA 层次结构。服务器也可以配置为 从属 CA，这意味着服务器的 CA 签名密钥在现有 CA 层次结构中由另一个 CA 签名。

将证书系统 CA 设置为 root CA 意味着证书系统管理员通过设置控制 CA 签名证书内容的策略来控制所有从属 CA。从属 CA 通过评估其自身身份验证和证书配置文件配置来发布证书，而无需考虑 root CA 的配置。

证书系统证书管理器可以作为 链接 CA 运作，将多个第三方或公共 CA 串联进行验证；这提供了跨公司信任，因此应用程序可以在公司证书层次结构外验证证书链。证书管理器通过从第三方 CA 请求证书管理器的 CA 签名证书 来串联第三方 CA。

与此相关，证书管理器也可以发出 跨对 或跨签名证书。跨对证书通过在两个 CA 之间发布和存储跨签名证书，在两个独立 CA 之间创建一个可信关系。通过使用跨签名的证书对，系统内可信任在组织的 PKI 外部发布的证书。

它们也称为 网桥证书，与联邦信息处理标准认证机构(FBCA)定义相关。

除了创建根和从属 CA 的层次结构外，可以创建证书管理器的多个克隆，并将每个克隆配置为在一系列序列号内发布证书。

克隆的 证书管理器使用与主证书管理器( master 证书管理器)相同的 CA 签名密钥和证书。

因为克隆 CA 和原始 CA 使用相同的 CA 签名密钥和证书来签署证书，因此所有证书中的 签发者名称 都是相同的。克隆 CA 和原始证书管理器发布证书，就像它们是单个 CA 一样。这些服务器可以放置在不同的主机上，以实现高可用性故障转移支持。

克隆的优点是它将证书管理器的负载分布到多个进程中，甚至几个物理机器。对于具有高注册需求的 CA，从克隆中获取的发行版允许在给定时间间隔内签名和发布更多证书。

克隆的证书管理器具有与常规证书管理器相同的功能，如代理和端点网关功能。

每个克隆都会从分配给被克隆的子系统的范围中分配一个唯一的副本 ID，请参阅 Replica ID 号。