建立企业PKI的最佳实践

Question

我有兴趣学习建立一个(内部)企业PKI的正确方式。

对我来说最清楚的是技术部分。我们的PKI将实现一个基于X.509证书的分层信任模型。CSP/Trust Center将由CA、RA、吊销服务和目录服务组成。我们发现的软件似乎适合运行这样的提供商。

然而，我不太清楚的是如何以高度安全和可升级的方式架构和运行CSP。例如,

• 不同等级的利弊是什么？
• 在选择证书的生存期时，需要考虑什么？
• 我们如何将CSP的不同部分分开？
• 如何安全地存储私钥？
• ..。

因此，我想我要寻找的是一些构建和运行企业PKI的最佳实践。人们在哪里了解他们？

Answer 1

您可能会发现，在理解亚当斯和劳埃德的PKI时，第三部分“部署注意事项”很有价值。在这一部分中，作者解决了在任何大规模PKI中应该考虑的许多部署问题。

它有点老(第二版是从2003年)，但这本书仍然包含了很好的建议。