~~NOTOC~~
====== Scenarij 1.3: Vzpostavitev večnivojske CA hierarhije ======
**Kategorija:** [[.:start|PKI infrastruktura]] \\
**Kompleksnost:** ⭐⭐⭐⭐ (Visoka) \\
**Predpogoji:** [[.:root_ca_erstellen|1.1 Korenski CA]], [[.:intermediate_ca_erstellen|1.2 Vmesni CA]] \\
**Predviden čas:** 1-2 uri
----
===== Opis =====
Ta scenarij opisuje vzpostavitev **večnivojske PKI hierarhije** s specializiranimi vmesnimi CA za različne namene uporabe. Dobro strukturirana CA hierarhija omogoča prilagodljivo upravljanje certifikatov, granularne varnostne kontrole in enostavno preklic.
**Kaj se ustvari:**
* Korenski CA (Offline, sidro zaupanja)
* Policy-CA (opcijsko, za velike organizacije)
* Več specializiranih izdajnih CA:
* **Server-CA:** TLS strežniški certifikati
* **Client-CA:** mTLS odjemalski certifikati
* **User-CA:** S/MIME in uporabniška avtentikacija
* **CodeSign-CA:** Certifikati za podpisovanje kode
* **Device-CA:** IoT/certifikati naprav
**Prednosti strukturirane hierarhije:**
* **Ločitev odgovornosti:** Različne ekipe upravljajo različne CA
* **Granularni preklic:** Kompromitiran CA vpliva samo na en segment
* **Skladnost:** Različni pravilniki za vsak namen uporabe
* **Razširljivost:** Novi CA se lahko enostavno dodajo
* **Revizija:** Jasna dodelitev certifikatov izdajnemu CA
----
===== Modeli hierarhij =====
==== Model A: 2-nivojska hierarhija (Standardna) ====
┌─────────────────────┐
│ Korenski CA │
│ (ML-DSA-87) │
│ 20 let │
│ pathLen=4 │
│ [OFFLINE] │
└──────────┬──────────┘
│
┌────────────────────────┼────────────────────────┐
│ │ │
▼ ▼ ▼
┌─────────────────────┐ ┌─────────────────────┐ ┌─────────────────────┐
│ Server-CA │ │ Client-CA │ │ CodeSign-CA │
│ (ML-DSA-65) │ │ (ML-DSA-65) │ │ (ML-DSA-65) │
│ 10 let │ │ 10 let │ │ 10 let │
│ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │
│ [ONLINE] │ │ [ONLINE] │ │ [HSM] │
└──────────┬──────────┘ └──────────┬──────────┘ └──────────┬──────────┘
│ │ │
▼ ▼ ▼
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ Strežniški │ │ Odjemalski │ │ Certifikati │
│ certifikati │ │ certifikati │ │ za podpis. │
│ (TLS) │ │ (mTLS) │ │ kode │
└──────────────┘ └──────────────┘ └──────────────┘
**Lastnosti:**
* Enostavno za upravljanje
* Korenski CA neposredno podpisuje vse izdajne CA
* Primerno za majhne do srednje organizacije
==== Model B: 3-nivojska hierarhija (Enterprise) ====
┌─────────────────────┐
│ Korenski CA │
│ (ML-DSA-87) │
│ 25 let │
│ pathLen=3 │
│ [OFFLINE/HSM] │
└──────────┬──────────┘
│
┌────────────────────┴────────────────────┐
│ │
▼ ▼
┌─────────────────────┐ ┌─────────────────────┐
│ Policy-CA │ │ Policy-CA │
│ (Produkcija) │ │ (Razvoj) │
│ (ML-DSA-65) │ │ (ML-DSA-65) │
│ 15 let │ │ 10 let │
│ pathLen=1 │ │ pathLen=1 │
│ [ONLINE/HSM] │ │ [ONLINE] │
└──────────┬──────────┘ └──────────┬──────────┘
│ │
┌─────────────┼─────────────┐ ┌──────────┴──────────┐
│ │ │ │ │
▼ ▼ ▼ ▼ ▼
┌───────────┐ ┌───────────┐ ┌───────────┐ ┌───────────┐ ┌───────────┐
│ Server-CA │ │ Client-CA │ │ CodeSign │ │ Dev-CA │ │ Test-CA │
│ (Prod) │ │ (Prod) │ │ -CA │ │ │ │ │
│ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │
└─────┬─────┘ └─────┬─────┘ └─────┬─────┘ └─────┬─────┘ └─────┬─────┘
│ │ │ │ │
▼ ▼ ▼ ▼ ▼
Strežniški Odjemalski Podpis. Razvojni Testni
certifikati certifikati kode certifikati certifikati
**Lastnosti:**
* Višja varnost z dodatno ravnjo
* Ločitev produkcije in razvoja
* Policy CA imajo lahko različne pravilnike certifikatov
* Primerno za velike organizacije z zahtevami skladnosti
----
===== Priporočena konfiguracija po tipu CA =====
==== Korenski CA ====
^ Lastnost ^ Priporočilo ^ Utemeljitev ^
| Algoritem | ML-DSA-87 | Najvišja varnost za dolgoživi anchor zaupanja |
| Veljavnost | 20-25 let | Dolgotrajen, sprememba je zahtevna |
| pathLength | Število ravni | npr. 4 za prilagodljivost |
| Key Usage | keyCertSign, cRLSign | Samo CA operacije |
| Lokacija | Offline/HSM | Zahtevana najvišja zaščita |
==== Server-CA ====
^ Lastnost ^ Priporočilo ^ Utemeljitev ^
| Algoritem | ML-DSA-65 | Ravnovesje varnost/zmogljivost |
| Veljavnost | 8-10 let | Krajša rotacija kot korenski |
| pathLength | 0 | Pod-CA niso dovoljeni |
| Key Usage | keyCertSign, cRLSign | CA operacije |
| Extended Key Usage | serverAuth (opcijsko) | Omejitev na TLS strežnike |
| Lokacija | Online (zaščiteno) | Pogosta uporaba za izdajanje |
==== CodeSign-CA ====
^ Lastnost ^ Priporočilo ^ Utemeljitev ^
| Algoritem | ML-DSA-65 ali ML-DSA-87 | Visoka varnost za podpisovanje kode |
| Veljavnost | 6-8 let | Priporočena krajša rotacija |
| pathLength | 0 | Pod-CA niso dovoljeni |
| Extended Key Usage | codeSigning | Samo podpisovanje kode |
| Lokacija | HSM | Povečana zaščita za podpisovanje kode |
----
===== Extended Key Usage (EKU) OID-i =====
^ Namen uporabe ^ OID ^ Tip CA ^
| TLS avtentikacija strežnika | 1.3.6.1.5.5.7.3.1 | Server-CA |
| TLS avtentikacija odjemalca | 1.3.6.1.5.5.7.3.2 | Client-CA, Device-CA |
| Podpisovanje kode | 1.3.6.1.5.5.7.3.3 | CodeSign-CA |
| Zaščita e-pošte (S/MIME) | 1.3.6.1.5.5.7.3.4 | User-CA |
| Časovno žigosanje | 1.3.6.1.5.5.7.3.8 | TSA-CA |
| OCSP podpisovanje | 1.3.6.1.5.5.7.3.9 | OCSP odzivnik |
**Dedovanje EKU:** Če ima CA EKU, smejo izdani certifikati imeti samo EKU, ki so podmnožica EKU CA. Server-CA s samo ''serverAuth'' ne more izdajati certifikatov s ''clientAuth''.
----
===== Povezani scenariji =====
^ Povezava ^ Scenarij ^ Opis ^
| **Predpogoj** | [[.:root_ca_erstellen|1.1 Korenski CA]] | Korenski CA mora obstajati |
| **Predpogoj** | [[.:intermediate_ca_erstellen|1.2 Vmesni CA]] | Osnove vmesnega CA |
| **Naslednji korak** | [[.:trust_store_konfigurieren|1.4 Shramba zaupanja]] | Distribucija korenskega certifikata |
| **Naslednji korak** | [[.:crl_ocsp_infrastruktur|1.6 CRL/OCSP]] | Vzpostavitev preklica |
----
<< [[.:intermediate_ca_erstellen|← 1.2 Vmesni CA]] | [[.:start|▲ PKI infrastruktura]] | [[.:trust_store_konfigurieren|1.4 Shramba zaupanja →]] >>
{{tag>scenarij pki hierarhija korenski-ca vmesni-ca policy-ca eku name-constraints}}
----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//