17.5. 使用跨证书
在未来 1990s 中,因为美国政府开始增强其公钥基础架构,它很明显地利用他们自己的政府分支,单独的 PKI 部署仍然需要象从其自己的 CA 发布证书一样识别并信任其他证书。(获取网络外部使用的证书的方法是严重的,不能容易解决任何 PKI 管理员的问题。)
美国政府制定了一个标准,用于发布 跨对证书,称为 联邦信息处理标准 证书颁发机构。出于明显的原因,这些证书也称为网桥证书。网桥或跨对证书的 CA 签名证书是帧为双证书对的 CA 签名证书,类似于用户的加密和签名证书对,只有对中的每个证书由不同的 CA 发布。合作伙伴 CA 将其他 CA 签名证书存储在其数据库中,因此其他 PKI 中发布的所有证书都可以被信任并识别。
桥接证书遵循 CA 在其自己的 PKI 中未串联到 root CA 的 CA 发布的证书。通过跨对 CA 证书在证书系统 CA 和另一个 CA 之间建立信任,可以下载跨修复证书并用来信任由其他 CA 发布的证书,就像下载和安装 CA 发布的所有 CA 证书一样。
证书系统可以发布、导入和发布跨对 CA 证书。必须创建一个特殊的配置文件来发布跨对证书,然后使用 CA 子系统的证书向导为 CA 请求并安装证书。
有关创建跨对证书配置文件的更多信息,请参阅 Red Hat Certificate System Planning, Installation, and Deployment Guide 中的 Configuring cross-Pair profile 部分。
有关发布跨对证书的更多信息,请参阅 第 9.9 节 “发布跨证书”。
17.5.1. 安装跨证书
当两个证书都导入到数据库中时,一个 crossCertificatePair 条目会被形成并存储在数据库中。创建 crossCertificatePair 条目后,原始单个跨对 CA 证书会被删除。
17.5.2. 搜索跨证书
网桥证书中的两个 CA 都可以作为 LDAP 数据库中的 跨CertificatePair 条目存储或发布跨对证书。证书管理器的内部数据库可以使用 ldapsearch 搜索 crossCertificatePair 条目。
/usr/lib[64]/mozldap/ldapsearch -D "cn=directory manager" -w secret -p 389 -h server.example.com -b "o=server.example.com-pki-ca" -s sub "(crossCertificatePair=*)"