部署CA階層架構的選項

在部署憑證授權單位(CA)的階層架構時, 主要有以下幾種選擇, 每種架構都有其適用的場景與安全性考量, 部署 CA階層的選擇主要會根據企業規模、安全需求、管理彈性、以及未來擴充性來決定

單層 CA架構

只有一台 CA伺服器, 同時扮演 根CA(Root CA) 的角色, 架構簡單, 部署快速, 成本較低適合小型組織或測試環境, 但缺點為安全風險高, 一旦此 CA伺服器遭入侵整個信任鏈會被破壞, 無法輕易撤銷和替換 CA而不影響整體憑證信任w-studio.idv.tw

兩層 CA架構

一個離線的 根CA(Root CA)及一個或多個線上的 子CA(Subordinate/Issuing CA)組成, 安全性提升, 根CA離線保存減少被攻擊的風險, 子CA負責發行憑證可依業務需求擴充, 子CA可撤換或重建而不影響根CA信任, 缺點為架構與維運比單層複雜, 初期建置成本略高

三層 CA架構

一個離線 根CA加上一個或多個中介CA及多個發行CA(Issuing CA)組成, 具有最大彈性與安全性, 可清楚區分用途與責任, 例如分開管理員工與設備憑證, 容易進行區域、用途或業務單位的劃分, 缺點為架構複雜, 維護與原則管理難度高, 成本高需要更多管理與監控

原則型 CA階層架構

在同一 根CA下設立多個發行CA(Issuing CA), 每個 CA各自代表不同的憑證使用原則或應用情況, 也就是最少為兩層的 CA架構

交叉憑證信任的 CA階層架構

在不同的憑證授權單位(CA)階層之間建立信任橋樑, 使得彼此頒發的憑證可以互相信任, 即使這些 CA原本不屬於同一條憑證信任鏈, 這種架構多用於跨組織、跨網域或跨國的情況, 例如企業整併、政府部門間協作或公私部門之間的憑證互信