金鑰的保存與修復

在憑證授權單位(CA)中, 金鑰的保存及修復極為重要, CA金鑰若遺失或無法修復, 整個 PKI架構將遭受破壞, 導致業務中斷與信任危機, 因此金鑰的妥善保存與可修復性, 是 CA系統運作中最關鍵的項目之一

1. CA私密金鑰是整個 PKI信任的根本

。CA的私密金鑰(Private Key)用來簽署憑證

。憑證的合法性仰賴 CA私密金鑰的安全性與完整性

。如果金鑰遺失或遭竄改, 所有已簽署的憑證將無法再被信任, 整個 PKI架構將失效

2. 金鑰遺失即憑證無法運作

。如果 CA的私密金鑰遺失或損壞將導致: 無法簽發新的憑證, 無法簽署憑證撤銷清單(CRL), 無法進行 OCSP回應

。這會導致系統與使用者無法進行憑證驗證, 進而中斷業務運作(如VPN、網站SSL、用戶登入等)

w-studio.idv.tw

3. 無法修復會導致 CA必須重新部署

。若無備份或無法修復金鑰, 只能撤銷 CA並建立新的 CA

。需重新簽發所有受憑證影響的裝置與使用者, 成本高、風險大、耗時長

4. 金鑰保存與修復的實務作法

。備份 CA私密金鑰與憑證(含私密金鑰的 PFX格式)

。安全地儲存在離線或受保護的媒介(如 HSM、加密USB、金鑰儲存模組)

。定期測試復原程序, 確保備份可用

。使用密碼或金鑰保護備份, 防止未授權存取