扩展层次PKI

Question

下图显示了四个简单的层次PKI。A、R、H和N是它们的信任锚。

1. 我应该添加一个证书，这样T就可以信任G，而不是D。此外，R绝不能信任P。首先，我想让C认证G，但该解决方案提出了C的P证书。如果C认证P，则存在从R到P的路径。P成了R的孩子。因此，R应该信任P。但为什么不是这样呢？
2. 搜索另一个证书，以便D信任J和L，而不信任K。此外，N绝不能信任B。当将证书从D引入B时，D将信任J和L，而不信任K。同时，从N到J和L的信任也出现了(因为有一条认证路径)。那么，如何解决这一问题呢？

Answer 1

我有种感觉，这真的是一个图论难题。--我有点喜欢.--但这与实际的PKI实施有很大不同。

不管怎么说，在一个真实的PKI中，你可以做些什么：

1. 我应该加一个证书，这样T就可以信任G，而不是D。

将G添加到T的受信任站点列表。

搜索另一个证书，以便D信任J和L，而不是K

在T的可信站点列表中添加J和L(或仅仅是B)。

Answer 2

如果我确切地理解，“叶”实体是终端实体证书，它们只信任自己的PKI信任锚，但需要与其他PKI的终端实体通信，而不更改它们的信任锚设置。因此，只使用交叉认证。

我应该加一个证书，这样T就可以信任G，而不是D，而且R不能信任P。

换句话说，T必须考虑G有效，而不是D.R也不能考虑P有效(这部分有点奇怪，但我知道R只信任自己)。

首先，我想让C认证G，但是解决方案提出了C的证书。

如果C证书G，则生成G‘(同一实体的不同证书)。如果C证明P，它将生成一个P‘，它仍然能够验证G.G，信任C，将信任P’。

如果C证明P，有一条从R到P的路径，P成为R的子代，因此R应该信任P，但为什么不是这样呢？

P不是C或R的子代，而是P‘。因此，R不信任P(既不G也不C)。如果你想知道，r也会信任G。

搜索另一个证书，以便D信任J和L，而不是K。此外，N不能信任B。当从D到B引入证书时，D会信任J和L，而不是K。从N到J的信任同时产生(因为有一条认证路径)。那么，如何解决这一问题呢？

因为这看起来像家庭作业，我会让你解决这个问题，因为随着其他项目的扩展，它似乎更容易理解这一个。