16.5. 使用跨Pair 证书
在上世纪九十年代,由于美国政府开始增强其公钥基础架构,它很明显,政府的分支也很明显,仍需要单独的 PKI 部署来识别和信任其他证书,就像 证书由自己的 CA 发布一样。(让外部客户端信任的证书在网络外信任的证书是非常严重的,无法轻松解决任何 PKI 管理员的问题。)
美国政府制定了标准,用于发布 跨对证书,称为联邦网桥证书颁发机构。由于明显的原因,这些证书也称为网桥证书。网桥或跨对证书是作为双证书对帧的 CA 签名证书,类似于用户的加密和签名证书对,只有对中的每个证书由不同的 CA 发布。两个合作伙伴 CA 都在其数据库中存储其他 CA 签名证书,因此其他 PKI 中发布的所有证书都是可信且被识别的。
桥接证书遵循由 CA 发布的证书,这些证书没有链接到自己的 PKI 中的 root CA。通过在证书证书证书间建立信任;System CA 和另一个 CA 通过跨对 CA 证书进行下载,从而下载并用于信任由其他 CA 发布的证书,只需下载并安装 CA 证书信任所有证书。
CertificateCertificate Systemnbsp;System 可以发出、导入和发布跨对 CA 证书。必须创建一个特殊的配置集,以发布跨对证书,然后使用 CA 子系统的证书向导来请求并安装 CA。
有关创建跨对证书配置集的更多信息,请参阅 红帽认证系统 9 规划、安装和部署指南中的 配置跨Pair 配置集 部分。
有关发布跨对证书的更多信息,请参阅 第 8.9 节 “发布跨Pair 证书”。
16.5.1. 安装跨Pair 证书
跨对证书都可以导入到证书Certificate Systemnbsp 中;使用 certutil 工具进行系统数据库,也可以通过从证书设置向导中选择 Cross-Pair Certificates 选项,如 第 16.6.1 节 “在证书系统数据库中安装证书” 所述。
当两个证书都导入到数据库中后,crossCertificatePair 条目会被创建并存储在数据库中。创建 crossCertificatePair 条目后,原始的跨对 CA 证书被删除。