5.2. 定义证书颁发机构层次结构

将证书系统 CA 串联到第三方公共 CA 引入了一个限制，即公共 CA 在从属 CA 可能会发布的证书上发生限制，以及证书链的性质。例如，指向第三方 CA 的 CA 可能仅限于仅发出安全多用途 Internet 邮件扩展(S/MIME)和 SSL/TLS mutual 身份验证证书，而不是 SSL/TLS 服务器证书。使用公共 CA 时存在其他可能的限制。对于某些 PKI 部署，这可能不能接受。

串联到公共 CA 的一个优点是，第三方负责将 root CA 证书提交到 Web 浏览器或其他客户端软件。这对带有无法由管理员控制的不同浏览器访问的证书的 extranet 来说是主要优势。在 CA 层次结构中创建 root CA 意味着本地组织必须将 root 证书提取到所有使用证书系统发布的证书的浏览器中。有工具可在公司内执行此操作，但很难通过 extranet 来完成。

证书系统 CA 可以充当 root CA，这意味着服务器签署自己的 CA 签名证书和其他 CA 签名证书，创建特定于组织的 CA 层次结构。服务器也可以配置为 从属 CA，这意味着服务器的 CA 签名密钥在现有 CA 层次结构中由另一个 CA 签名。

将证书系统 CA 设置为 root CA 意味着证书系统管理员通过设置控制签发证书的 CA 的策略来控制所有从属 CA。从属 CA 通过评估其自身身份验证和证书配置文件配置来发布证书，而无需考虑 root CA 的配置。

证书系统证书管理器可以作为 链接的 CA，串联到许多第三方或公共 CA 进行验证；这提供了跨公司信任，以便应用程序可以在公司证书层次结构外验证证书链。证书管理器通过从第三方 CA 请求证书管理器的 CA 签名证书 来串联第三方 CA。

与此相关，证书管理器也可以发布 跨对 或跨签名的证书。跨修复证书通过在两个 CA 之间发布和存储自签名证书，在两个单独的 CA 之间创建可信关系。通过使用跨签名的证书对，系统内可信任在组织的 PKI 外部发布的证书。

它们也称为 网桥证书，与联邦信息处理标准认证机构(FBCA)定义相关。

创建证书管理器的多个克隆，而不是创建根和从属 CA 的层次结构，并将每个克隆配置为在一系列序列号内发布证书。

克隆的 证书管理器使用与另一个证书管理器( master 证书管理器)相同的 CA 签名密钥和证书。

因为克隆 CA 和原始 CA 使用相同的 CA 签名密钥和证书为它们发布的证书签名，所以所有证书中的 签发者名称 都相同。克隆 CA 和原始证书管理器会发布证书，就如同它们是一个 CA 一样。这些服务器可以放置到不同的主机上，以实现高可用性故障转移支持。

克隆的优点是它将证书管理器的负载分布到多个进程中，甚至几个物理机器。对于具有高注册需求的 CA，从克隆获取的分发允许以给定时间间隔对证书进行签名和发布。

克隆的证书管理器具有与常规证书管理器相同的功能，如代理和最终用户网关功能。

克隆发布的证书的序列号是动态分发的。每个克隆和 master 的数据库也会被复制，因此所有证书请求和签发的证书也会被复制。这样可确保没有序列号冲突，而序列号范围不需要手动分配给克隆的证书管理器。