1. 部署類型選擇
。離線 Root CA(建議)
--安裝後不與網路連線, 僅在簽發下層 CA憑證時啟用
--可有效防止駭客入侵, 適合用於高安全性需求
。連線 Root CA
--持續連線的 Root CA, 風險較高不建議使用於生產環境
2. 作業系統與版本
。使用支援 ADCS的 Windows Server版本(建議使用最新 LTS版本)
。定期安裝安全性更新w-studio.idv.tw
3. 憑證有效期限
。根憑證期限應長於下層 CA與用戶端憑證(通常為10~20年)
。考量憑證更新成本及信任期限, 需慎重規劃
4. 密碼學參數
。金鑰長度(建議最少2048 bits, 最好4096 bits)
。雜湊演算法(建議使用 SHA-256或以上)
。加密與簽章演算法需遵循組織安全政策與業界標準
5. CA名稱與識別資訊
。必須唯一, 與組織名稱、原則一致
。建議清楚標示是「Root CA」避免混淆
6. 私密金鑰保護
。使用 HSM(硬體安全模組)保管私鑰或儲存在安全的裝置中
。禁止將私鑰暴露於網路或未加密的媒體上
沒有留言:
張貼留言