2.2. 证书颁发机构


2.2.1. 证书颁发机构简介

CA 由一组用于生成和管理证书和数据库的工具组成,其中包含所有生成的证书。在设置系统时,务必要选择适合您的要求的适当 CA。

您可以使用两种类型的 CA:

  • 商业 CA 是为多个系统签名证书的公司。
  • 私有 CA 是您设置并用来为您的系统签名证书的可信节点。

2.2.2. 商业认证机构

签名证书

可用的商业 CA 有多种。使用商业 CA 签名证书的机制取决于您所选的 CA。

商业 CA 的优点

商业 CA 的一个优点是它们通常被大量人信任。如果您的应用程序被设计为可用于您的机构外部的系统,请使用商业 CA 为证书签名。如果您的应用程序在内部网络中使用,则可能适当地使用私有 CA。

选择 CA 的条件

在选择商业 CA 前,请考虑以下标准:

  • 商业 CA 的证书签名请求是什么?
  • 您的应用程序是否在内部网络上可用?
  • 与订阅商业 CA 的成本相比,设置私有 CA 的潜在成本是什么?

2.2.3. 私有证书颁发机构

选择 CA 软件包

如果要负责为您的系统签名证书,请设置私有 CA。要设置私有 CA,您需要访问提供创建和签名证书的实用程序的软件包。这个类型的几个软件包可用。

OpenSSL 软件包

一个允许您设置私有 CA 的软件包是 OpenSSL http://www.openssl.org。OpenSSL 软件包包括用于生成和签名证书的基本命令行工具。OpenSSL 命令行工具的完整文档位于 http://www.openssl.org/docs

使用 OpenSSL 设置私有 CA

要设置私有 CA,请参阅 第 2.5 节 “创建您自己的证书” 中的说明。

为私有证书颁发机构选择主机

选择主机是设置私有 CA 的一个重要步骤。与 CA 主机关联的安全级别决定了与 CA 签名的证书关联的信任级别。

如果您要设置用于在红帽 Fuse 应用程序的开发和测试中使用的 CA,请使用应用程序开发人员可访问的任何主机。但是,当您创建 CA 证书和私钥时,请不要在运行安全关键应用程序的任何主机上提供 CA 私钥。

安全预防

如果您要设置 CA 为您要部署的应用程序签名证书,请尽可能使 CA 主机安全。例如,要采取以下措施来保护您的 CA:

  • 不要将 CA 连接到网络。
  • 将对 CA 的所有访问限制为一组有限的可信用户。
  • 使用 RF-shield 来保护 CA 的无线电。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.