从同一个 ROOT CA 向两个部门颁发证书,因此一个部门不信任另一个部门

信息安全 证书 公钥基础设施 证书颁发机构
2021-08-21 06:21:22

设想:

  1. 我们在 IT 中有两个部门;Department-OLDDepartment-NEW
  2. 存在单个内部 PKI 环境,并且根 CA(单个)受 All 信任endpoints

问题:

Department-New,在同一个网络中,正在做很多新的开发。他们需要向所有系统和应用程序颁发证书,但我们不希望组织的其余部分(Department-OLDendpoints)信任Department-NEW.

如何实现?

2个回答

Department-New为开发工作设置新的根 CA 可能是问题最少的。在他们的机器上将根证书(rootCA-generalrootCA-dev)安装到信任库中,在其他人的机器上只安装rootCA-general

你用这些证书做什么?您可以使用在中介处限制证书

  • EKU 策略(HTTPS、电子邮件、智能卡)
  • 名称约束

以上的组合可能会完成您正在寻找的

其它你可能感兴趣的问题
上一篇代理和前端之间应该如何共享证书? 下一篇如何渗透测试 DTLS-SRTP?