2.2. 证书颁发机构
2.2.1. 证书颁发机构简介
CA 由一组用于生成和管理证书和数据库的工具组成,其中包含所有生成的证书。在设置系统时,务必要选择适合您的要求的适当 CA。
您可以使用两种类型的 CA:
2.2.2. 商业认证机构
签名证书
可用的商业 CA 有多种。使用商业 CA 签名证书的机制取决于您所选的 CA。
商业 CA 的优点
商业 CA 的一个优点是它们通常被大量人信任。如果您的应用程序被设计为可用于您的机构外部的系统,请使用商业 CA 为证书签名。如果您的应用程序在内部网络中使用,则可能适当地使用私有 CA。
选择 CA 的条件
在选择商业 CA 前,请考虑以下标准:
- 商业 CA 的证书签名请求是什么?
- 您的应用程序是否在内部网络上可用?
- 与订阅商业 CA 的成本相比,设置私有 CA 的潜在成本是什么?
2.2.3. 私有证书颁发机构
选择 CA 软件包
如果要负责为您的系统签名证书,请设置私有 CA。要设置私有 CA,您需要访问提供创建和签名证书的实用程序的软件包。这个类型的几个软件包可用。
OpenSSL 软件包
一个允许您设置私有 CA 的软件包是 OpenSSL http://www.openssl.org。OpenSSL 软件包包括用于生成和签名证书的基本命令行工具。OpenSSL 命令行工具的完整文档位于 http://www.openssl.org/docs。
使用 OpenSSL 设置私有 CA
要设置私有 CA,请参阅 第 2.5 节 “创建您自己的证书” 中的说明。
为私有证书颁发机构选择主机
选择主机是设置私有 CA 的一个重要步骤。与 CA 主机关联的安全级别决定了与 CA 签名的证书关联的信任级别。
如果您要设置用于在红帽 Fuse 应用程序的开发和测试中使用的 CA,请使用应用程序开发人员可访问的任何主机。但是,当您创建 CA 证书和私钥时,请不要在运行安全关键应用程序的任何主机上提供 CA 私钥。
安全预防
如果您要设置 CA 为您要部署的应用程序签名证书,请尽可能使 CA 主机安全。例如,要采取以下措施来保护您的 CA:
- 不要将 CA 连接到网络。
- 将对 CA 的所有访问限制为一组有限的可信用户。
- 使用 RF-shield 来保护 CA 的无线电。