5.3. 规划安全域

安全域 是 PKI 服务的 registry。PKI 服务（如 CA）在这些域中注册有关自身的信息，以便 PKI 服务用户可以通过检查 registry 来查找其他服务。证书系统中的安全域服务同时管理证书系统子系统和一组共享信任策略的 PKI 服务注册。

registry 提供该域内子系统提供的所有 PKI 服务的完整视图。每个证书系统子系统必须是主机或安全域的成员。

CA 子系统是唯一可以托管安全域的子系统。安全域共享特权用户和组信息的 CA 内部数据库，以确定哪些用户可以更新安全域，注册新的 PKI 服务，并发布证书。

安全域是在 CA 配置期间创建的，它会在安全域 CA 的 LDAP 目录中自动创建条目。每个条目都包含有关域的所有重要信息。域中的每个子系统（包括 CA 注册安全域）都会记录在安全域容器条目下。

CA 唯一标识安全域的 URL。安全域也具有友好的名称，如 Corp I intranet PKI。所有其他子系统 - KRA、TPS、TKS、OCSP 和其他 CA 必须通过在配置子系统时提供安全域 URL 来成为安全域的成员。

安全域中的每个子系统共享相同的信任策略和可信根，可以从不同的服务器和浏览器检索。安全域中可用的信息是在配置新子系统期间使用的信息，从而使配置过程简化和自动化。例如，当 TPS 需要连接到 CA 时，可以咨询安全域来获取可用 CA 列表。

每个 CA 都有自己的 LDAP 条目。安全域是该 CA 条目下的组织组：

ou=Security Domain,dc=server.example.com-pki-ca

ou=Security Domain,dc=server.example.com-pki-ca

然后，安全域组织组下每个子系统类型都有一个列表，并有一个特殊的对象类(pkiSecurityGroup)来识别组类型：

cn=KRAList,ou=Security Domain,o=pki-tomcat-CA
objectClass: top
objectClass: pkiSecurityGroup
cn: KRAList

cn=KRAList,ou=Security Domain,o=pki-tomcat-CA
objectClass: top
objectClass: pkiSecurityGroup
cn: KRAList

然后，每个子系统实例都存储为该组的成员，使用特殊的 pkiSubsystem 对象类来识别条目类型：

dn: cn=kra.example.com:8443,cn=KRAList,ou=Security Domain,o=pki-tomcat-CA
objectClass: top
objectClass: pkiSubsystem
cn: kra.example.com:8443
host: server.example.com
UnSecurePort: 8080
SecurePort: 8443
SecureAdminPort: 8443
SecureAgentPort: 8443
SecureEEClientAuthPort: 8443
DomainManager: false
Clone: false
SubsystemName: KRA kra.example.com 8443

dn: cn=kra.example.com:8443,cn=KRAList,ou=Security Domain,o=pki-tomcat-CA
objectClass: top
objectClass: pkiSubsystem
cn: kra.example.com:8443
host: server.example.com
UnSecurePort: 8080
SecurePort: 8443
SecureAdminPort: 8443
SecureAgentPort: 8443
SecureEEClientAuthPort: 8443
DomainManager: false
Clone: false
SubsystemName: KRA kra.example.com 8443

如果子系统需要联系另一个子系统才能执行操作，它会联系托管安全域的 CA （通过调用通过 CA 管理端口连接的 servlet）。然后，安全域 CA 从其 LDAP 数据库检索子系统的信息，然后将这些信息返回到请求的子系统。

子系统使用子系统证书向安全域进行身份验证。

在规划安全域时请考虑以下几点：