5.6. 用于规划 PKI 的检查列表

安装子系统的位置取决于网络设计。OCSP 子系统专门设计为在防火墙外运行，而 CA、KRA 和 TPS 都应在防火墙后面保护，以提高安全性。

在决定子系统的位置时，规划服务器需要访问 的其他子系统 或服务（包括内部数据库、CA 或外部用户），以及查看防火墙、子网和 VPN 配置。

主要考虑是每个子系统的预期负载，然后是第二种、地理或部门部门的预期负载。负载非常低的子系统（如 KRA 或 TKS）可能只需要整个 PKI 的单个实例。具有高负载(CA)的系统或从本地代理的本地实例（如 TPS）中受益，可能需要多个实例。

可以克隆子系统，这意味着它们基本上是集群，作为一个单元运行，这适用于负载平衡和高可用性。克隆对 CA 和 KRA 特别有用，其中相同的密钥和证书数据可能需要被大量用户或具有可靠的故障转移访问。

在为多个子系统实例规划时，请记住子系统在建立的安全域内是如何工作的。安全域在子系统之间创建可信关系，允许它们一起查找可用的子系统以响应即时需求。可以在单个 PKI 中使用多个安全域，以及许多子系统的多个实例，或者单个安全域可用于所有子系统。

此处的实际问题是 CA 是 root CA，该 CA 在发布证书时设置了自己的规则，或者它是一个从属 CA，其中另一个 CA ( PKI 中的其他 CA 甚至外部 CA)对它可能发布的证书类型设置了限制。

证书管理器可以配置为 root CA 或从属 CA。root CA 和从属 CA 之间的区别在于，为 CA 签名证书进行签名。root CA 为自己的证书签名。子 CA 有另一个 CA （内部或外部）签署其证书。

自签名 root CA 问题并签署自己的 CA 签名证书。这允许 CA 设置自己的配置规则，如有效期以及允许的从属 CA 的数量。

子 CA 的 CA 具有由公共 CA 或其他证书系统根 CA 发布的证书。此 CA 从属 到证书设置的其他 CA 规则，以及如何使用证书类型、允许包括在证书中的扩展以及从属 CA 可创建从属 CA 的级别。

一个选择是使证书管理器从属到公共 CA。这可能会有非常严格的限制，因为它引入了公共 CA 在从属 CA 可以发布的证书类型以及证书链的性质上发生的限制。另一方面，串联到公共 CA 的好处是第三方负责将 root CA 证书提交到 Web 浏览器或其他客户端软件，这是不被管理员控制的不同公司访问的证书的主要优势。

另一个选项使 CA 从属到证书系统 CA。将证书系统 CA 设置为 root CA 意味着证书系统管理员通过设置控制签发证书的 CA 的策略来控制所有从属 CA。

最简单的方法是使第一个 CA 安装一个自签名的 root，因此不需要应用到第三方并等待签发证书。请确定您确定有多少个 root CA 以及 root 和从属 CA 所在的位置。

请求批准过程直接影响证书的安全性。自动化过程速度更快，但安全性较低，因为请求者的身份仅经过超级验证。同样，代理批准的注册更加安全（因为在最安全的情况下，他们可能需要进行个人验证和支持识别），但它们也可以是最耗时的。

首先确定身份验证过程需要如何保护，然后确定验证身份需要哪些身份验证(approval)机制。