2.2. 认证授权机构
2.2.1. 证书颁发机构简介
CA 由一组用来创建和管理证书的工具以及包含所有生成的证书的数据库组成。在设置系统时,务必要选择足够安全的 CA。
您可以使用两种 CA 类型:
2.2.2. 商业认证机构
签名证书
有几种商业 CA 可用。使用商用 CA 签署证书的机制取决于您选择哪个 CA。
商业 CA 的优点
商业 CA 的一个优点是它们通常被大量人信任。如果您的应用程序被设计为可用于您的机构外部的系统,请使用商业 CA 为证书签名。如果您的应用程序在内部网络中使用,则可能存在私有 CA。
选择 CA 的条件
在选择商用 CA 之前,请考虑以下标准:
- 商业 CA 的证书签名请求是什么?
- 您的应用程序是否仅在内部网络上可用?
- 与订阅商业 CA 的成本相比,设置私有 CA 的潜在成本是什么?
2.2.3. 私有证书颁发机构
选择 CA 软件包
如果要负责为您的系统签名证书,请设置私有 CA。要设置私有 CA,您需要访问提供创建和签名证书的实用程序的软件包。有以下几种软件包可用。
openssl 软件包
一个可让您设置私有 CA 的软件包是 OpenSSL http://www.openssl.org。OpenSSL 软件包包含用于生成和签名证书的基本命令行工具。OpenSSL 命令行工具的完整文档位于 http://www.openssl.org/docs。
使用 OpenSSL 设置私有 CA
要设置私有 CA,请查看 第 2.5 节 “创建您自己的证书” 中的说明。
为私有证书颁发机构选择主机
选择主机是设置私有 CA 的一个重要步骤。与 CA 主机关联的安全级别决定了与 CA 签名的证书关联的信任级别。
如果您要设置用于 Red Hat Fuse 应用程序的开发和测试的 CA,请使用应用程序开发人员可访问的任何主机。但是,当您创建 CA 证书和私钥时,不要在运行安全关键应用程序的任何主机上使用 CA 私钥。
安全预防措施
如果您要设置 CA 为您要部署的应用程序签名的证书,使 CA 主机尽可能安全。例如,采取以下预防措施来保护您的 CA:
- 不要将 CA 连接到网络。
- 将 CA 的所有访问权限限制为有限一组可信用户。
- 使用 RF-shield 防止 CA 不受无线电音。