Стоит ли использовать одни и те же файлы для database, serial а также crlnumber в ca_default-раздел моего файла конфигурации как для корневого центра сертификации, так и для подчиненного центра сертификации? Или лучше использовать разные наборы файлов?
Если возможно и то, и другое, каковы будут преимущества и недостатки вариантов?
1 ответ
OpenSSL — не лучший вариант для центра сертификации — об этом даже говорится в man страницы.
Вы должны рассматривать корневой ЦС и подчиненный ЦС как полностью отдельные объекты, иначе нет смысла иметь подчиненный ЦС. Ваш корневой центр сертификации должен быть отключен, а подчиненный должен использоваться в обычном режиме.
Теперь, когда вы используете два отдельных центра сертификации, понятно, что эти файлы не будут использоваться совместно.
Вы также должны учитывать назначение этих файлов. Корневой ЦС выдает сертификат ЦС только подчиненному ЦС. Это означает, что его database будет содержать одну запись (до тех пор, пока вы не обновите сертификат ЦС или не поднимете другой подчиненный), в то время как подчиненный ЦС будет иметь все сертификаты конечных объектов в своем database.
В serial файл содержит вкладку с серийными номерами сертификатов, поэтому подчиненный ЦС serial файл будет иметь гораздо большее значение, чем корневой центр сертификации.
Точно так же корневой ЦС выдает списки отзыва сертификатов гораздо реже, чем подчиненный ЦС (поскольку он доверяет оператору подчиненного ЦС гораздо больше, чем подчиненный ЦС доверяет своим конечным объектам), поэтому значения в crlnumber файлы тоже будут расходиться.
Таким образом, преимущество использования разных файлов заключается в том, что OpenSSL будет работать, хотя вы, вероятно, запутаете его (и себя), если попытаетесь поделиться файлами.