如何使CA进入信任链

Question

我使用Google云中的Google CA服务提供商在他们的FIPS-140-2级3级HSMs (google的服务)上发布关键材料。我打算将认证包连同公钥和其他证明一起作为CSR发送给第三方信托提供商，并获得信任链中的证书。

我想知道我是否可以使用我的CA作为发布器，从而使我的ICA由GC自动托管在CoT中。换句话说，我希望第三方提供者签署我自己发出的证书，而不仅仅是我在HSM上拥有的公钥(在这种情况下，我的CA将是链中的最后一个，最后一个是第三方信任提供者-- AATL中，这正是我们所要追求的)。你觉得这是标准用法吗？

还是简单地取我的ICAs公钥并由我选择的信任提供者签名更好(在这种情况下，我的ICA将是链中的最后一个)？这将使我的优势是，证书将由我的ICA，并在更高的水平，我将有一个AATL供应商CA在链中。

你们觉得怎么样？请给我推荐一些文献(除了RFC 5280、ITU、ISO和Webtrust标准-我目前正在研究这些标准)。我想了解更多关于信任链中的最佳实践的知识。

Answer 1

如果您的客户是公共的，

我希望第三方供应商签署我自己发出的证书。

没有签署证书这样的事情。证书要么可信，要么不可信。如果您将自己的CA设置为某个大CA的中间CA，那么您颁发的任何证书都将受到世界上任何一方的信任。

取下我的ICAs公钥，并由我选择的信托提供者签名。

简单地说，证书是对公钥的特定属性的签名确认(该密钥属于谁、该密钥可用于什么目的、有效时间等)。证书没有证书。

CA证书必须包含“证书颁发机构”属性。将此属性发送到CA进行签名时，可以在CSR中指定该属性。但是CA不会仅仅因为您想这样就向您颁发确认您是CA的证书。

任何CA都可以为任何域、组织和人员颁发证书。这就是为什么要成为CA需要很大的信任。见关于核证机关的要求：

• Mozilla的CA证书程序
• 微软的审计要求
• 如何成为受信任的证书颁发机构
• 如何成为国际公认的证书颁发机构

对根CA的大多数要求也适用于中间CA。在您建立自己的中间CA之前，您必须满足许多要求。

如果您的客户是私有的

如果完全控制所有客户端设备，则可以建立自己的根CA。它将使用自签名证书。您将此根证书放在所有设备上，从而使您的根CA在所有设备上得到信任。

然后这个根CA可以发出证书。它们都将在您的设备上被信任，因为它们信任您的根CA。根据您的风险，您可以建立中间CA，并使用它而不是根CA为您的设备颁发证书。