Scenarij 1.3: Vzpostavitev večnivojske CA hierarhije

Kategorija: PKI infrastruktura
Kompleksnost: ⭐⭐⭐⭐ (Visoka)
Predpogoji: 1.1 Korenski CA, 1.2 Vmesni CA
Predviden čas: 1-2 uri

Opis

Ta scenarij opisuje vzpostavitev večnivojske PKI hierarhije s specializiranimi vmesnimi CA za različne namene uporabe. Dobro strukturirana CA hierarhija omogoča prilagodljivo upravljanje certifikatov, granularne varnostne kontrole in enostavno preklic.

Kaj se ustvari:

Korenski CA (Offline, sidro zaupanja)
Policy-CA (opcijsko, za velike organizacije)
Več specializiranih izdajnih CA:
- Server-CA: TLS strežniški certifikati
- Client-CA: mTLS odjemalski certifikati
- User-CA: S/MIME in uporabniška avtentikacija
- CodeSign-CA: Certifikati za podpisovanje kode
- Device-CA: IoT/certifikati naprav

Prednosti strukturirane hierarhije:

Ločitev odgovornosti: Različne ekipe upravljajo različne CA
Granularni preklic: Kompromitiran CA vpliva samo na en segment
Skladnost: Različni pravilniki za vsak namen uporabe
Razširljivost: Novi CA se lahko enostavno dodajo
Revizija: Jasna dodelitev certifikatov izdajnemu CA

Modeli hierarhij

Model A: 2-nivojska hierarhija (Standardna)

                         ┌─────────────────────┐
                         │      Korenski CA    │
                         │    (ML-DSA-87)      │
                         │    20 let           │
                         │    pathLen=4        │
                         │    [OFFLINE]        │
                         └──────────┬──────────┘
                                    │
           ┌────────────────────────┼────────────────────────┐
           │                        │                        │
           ▼                        ▼                        ▼
┌─────────────────────┐  ┌─────────────────────┐  ┌─────────────────────┐
│    Server-CA        │  │    Client-CA        │  │   CodeSign-CA       │
│   (ML-DSA-65)       │  │   (ML-DSA-65)       │  │   (ML-DSA-65)       │
│   10 let            │  │   10 let            │  │   10 let            │
│   pathLen=0         │  │   pathLen=0         │  │   pathLen=0         │
│   [ONLINE]          │  │   [ONLINE]          │  │   [HSM]             │
└──────────┬──────────┘  └──────────┬──────────┘  └──────────┬──────────┘
           │                        │                        │
           ▼                        ▼                        ▼
    ┌──────────────┐        ┌──────────────┐        ┌──────────────┐
    │ Strežniški   │        │ Odjemalski   │        │ Certifikati  │
    │ certifikati  │        │ certifikati  │        │ za podpis.   │
    │ (TLS)        │        │ (mTLS)       │        │ kode         │
    └──────────────┘        └──────────────┘        └──────────────┘

Lastnosti:

Enostavno za upravljanje
Korenski CA neposredno podpisuje vse izdajne CA
Primerno za majhne do srednje organizacije

Model B: 3-nivojska hierarhija (Enterprise)

                              ┌─────────────────────┐
                              │      Korenski CA    │
                              │    (ML-DSA-87)      │
                              │    25 let           │
                              │    pathLen=3        │
                              │    [OFFLINE/HSM]    │
                              └──────────┬──────────┘
                                         │
                    ┌────────────────────┴────────────────────┐
                    │                                         │
                    ▼                                         ▼
         ┌─────────────────────┐               ┌─────────────────────┐
         │    Policy-CA        │               │    Policy-CA        │
         │   (Produkcija)      │               │   (Razvoj)          │
         │   (ML-DSA-65)       │               │   (ML-DSA-65)       │
         │   15 let            │               │   10 let            │
         │   pathLen=1         │               │   pathLen=1         │
         │   [ONLINE/HSM]      │               │   [ONLINE]          │
         └──────────┬──────────┘               └──────────┬──────────┘
                    │                                     │
      ┌─────────────┼─────────────┐           ┌──────────┴──────────┐
      │             │             │           │                     │
      ▼             ▼             ▼           ▼                     ▼
┌───────────┐ ┌───────────┐ ┌───────────┐ ┌───────────┐      ┌───────────┐
│ Server-CA │ │ Client-CA │ │ CodeSign  │ │ Dev-CA    │      │ Test-CA   │
│ (Prod)    │ │ (Prod)    │ │ -CA       │ │           │      │           │
│ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │      │ pathLen=0 │
└─────┬─────┘ └─────┬─────┘ └─────┬─────┘ └─────┬─────┘      └─────┬─────┘
      │             │             │             │                  │
      ▼             ▼             ▼             ▼                  ▼
   Strežniški   Odjemalski   Podpis.        Razvojni          Testni
   certifikati  certifikati   kode          certifikati       certifikati

Lastnosti:

Višja varnost z dodatno ravnjo
Ločitev produkcije in razvoja
Policy CA imajo lahko različne pravilnike certifikatov
Primerno za velike organizacije z zahtevami skladnosti

Priporočena konfiguracija po tipu CA

Korenski CA

Lastnost	Priporočilo	Utemeljitev
Algoritem	ML-DSA-87	Najvišja varnost za dolgoživi anchor zaupanja
Veljavnost	20-25 let	Dolgotrajen, sprememba je zahtevna
pathLength	Število ravni	npr. 4 za prilagodljivost
Key Usage	keyCertSign, cRLSign	Samo CA operacije
Lokacija	Offline/HSM	Zahtevana najvišja zaščita

Server-CA

Lastnost	Priporočilo	Utemeljitev
Algoritem	ML-DSA-65	Ravnovesje varnost/zmogljivost
Veljavnost	8-10 let	Krajša rotacija kot korenski
pathLength	0	Pod-CA niso dovoljeni
Key Usage	keyCertSign, cRLSign	CA operacije
Extended Key Usage	serverAuth (opcijsko)	Omejitev na TLS strežnike
Lokacija	Online (zaščiteno)	Pogosta uporaba za izdajanje

CodeSign-CA

Lastnost	Priporočilo	Utemeljitev
Algoritem	ML-DSA-65 ali ML-DSA-87	Visoka varnost za podpisovanje kode
Veljavnost	6-8 let	Priporočena krajša rotacija
pathLength	0	Pod-CA niso dovoljeni
Extended Key Usage	codeSigning	Samo podpisovanje kode
Lokacija	HSM	Povečana zaščita za podpisovanje kode

Extended Key Usage (EKU) OID-i

Namen uporabe	OID	Tip CA
TLS avtentikacija strežnika	1.3.6.1.5.5.7.3.1	Server-CA
TLS avtentikacija odjemalca	1.3.6.1.5.5.7.3.2	Client-CA, Device-CA
Podpisovanje kode	1.3.6.1.5.5.7.3.3	CodeSign-CA
Zaščita e-pošte (S/MIME)	1.3.6.1.5.5.7.3.4	User-CA
Časovno žigosanje	1.3.6.1.5.5.7.3.8	TSA-CA
OCSP podpisovanje	1.3.6.1.5.5.7.3.9	OCSP odzivnik

Dedovanje EKU: Če ima CA EKU, smejo izdani certifikati imeti samo EKU, ki so podmnožica EKU CA. Server-CA s samo serverAuth ne more izdajati certifikatov s clientAuth.

Povezani scenariji

Povezava	Scenarij	Opis
Predpogoj	1.1 Korenski CA	Korenski CA mora obstajati
Predpogoj	1.2 Vmesni CA	Osnove vmesnega CA
Naslednji korak	1.4 Shramba zaupanja	Distribucija korenskega certifikata
Naslednji korak	1.6 CRL/OCSP	Vzpostavitev preklica

« ← 1.2 Vmesni CA | ▲ PKI infrastruktura | 1.4 Shramba zaupanja → »

scenarij, pki, hierarhija, korenski-ca, vmesni-ca, policy-ca, eku, name-constraints

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional