Scenarij 1.3: Vzpostavitev večnivojske CA hierarhije
Kategorija: PKI infrastruktura
Kompleksnost: ⭐⭐⭐⭐ (Visoka)
Predpogoji: 1.1 Korenski CA, 1.2 Vmesni CA
Predviden čas: 1-2 uri
Opis
Ta scenarij opisuje vzpostavitev večnivojske PKI hierarhije s specializiranimi vmesnimi CA za različne namene uporabe. Dobro strukturirana CA hierarhija omogoča prilagodljivo upravljanje certifikatov, granularne varnostne kontrole in enostavno preklic.
Kaj se ustvari:
- Korenski CA (Offline, sidro zaupanja)
- Policy-CA (opcijsko, za velike organizacije)
- Več specializiranih izdajnih CA:
- Server-CA: TLS strežniški certifikati
- Client-CA: mTLS odjemalski certifikati
- User-CA: S/MIME in uporabniška avtentikacija
- CodeSign-CA: Certifikati za podpisovanje kode
- Device-CA: IoT/certifikati naprav
Prednosti strukturirane hierarhije:
- Ločitev odgovornosti: Različne ekipe upravljajo različne CA
- Granularni preklic: Kompromitiran CA vpliva samo na en segment
- Skladnost: Različni pravilniki za vsak namen uporabe
- Razširljivost: Novi CA se lahko enostavno dodajo
- Revizija: Jasna dodelitev certifikatov izdajnemu CA
Modeli hierarhij
Model A: 2-nivojska hierarhija (Standardna)
┌─────────────────────┐
│ Korenski CA │
│ (ML-DSA-87) │
│ 20 let │
│ pathLen=4 │
│ [OFFLINE] │
└──────────┬──────────┘
│
┌────────────────────────┼────────────────────────┐
│ │ │
▼ ▼ ▼
┌─────────────────────┐ ┌─────────────────────┐ ┌─────────────────────┐
│ Server-CA │ │ Client-CA │ │ CodeSign-CA │
│ (ML-DSA-65) │ │ (ML-DSA-65) │ │ (ML-DSA-65) │
│ 10 let │ │ 10 let │ │ 10 let │
│ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │
│ [ONLINE] │ │ [ONLINE] │ │ [HSM] │
└──────────┬──────────┘ └──────────┬──────────┘ └──────────┬──────────┘
│ │ │
▼ ▼ ▼
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ Strežniški │ │ Odjemalski │ │ Certifikati │
│ certifikati │ │ certifikati │ │ za podpis. │
│ (TLS) │ │ (mTLS) │ │ kode │
└──────────────┘ └──────────────┘ └──────────────┘
Lastnosti:
- Enostavno za upravljanje
- Korenski CA neposredno podpisuje vse izdajne CA
- Primerno za majhne do srednje organizacije
Model B: 3-nivojska hierarhija (Enterprise)
┌─────────────────────┐
│ Korenski CA │
│ (ML-DSA-87) │
│ 25 let │
│ pathLen=3 │
│ [OFFLINE/HSM] │
└──────────┬──────────┘
│
┌────────────────────┴────────────────────┐
│ │
▼ ▼
┌─────────────────────┐ ┌─────────────────────┐
│ Policy-CA │ │ Policy-CA │
│ (Produkcija) │ │ (Razvoj) │
│ (ML-DSA-65) │ │ (ML-DSA-65) │
│ 15 let │ │ 10 let │
│ pathLen=1 │ │ pathLen=1 │
│ [ONLINE/HSM] │ │ [ONLINE] │
└──────────┬──────────┘ └──────────┬──────────┘
│ │
┌─────────────┼─────────────┐ ┌──────────┴──────────┐
│ │ │ │ │
▼ ▼ ▼ ▼ ▼
┌───────────┐ ┌───────────┐ ┌───────────┐ ┌───────────┐ ┌───────────┐
│ Server-CA │ │ Client-CA │ │ CodeSign │ │ Dev-CA │ │ Test-CA │
│ (Prod) │ │ (Prod) │ │ -CA │ │ │ │ │
│ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │ │ pathLen=0 │
└─────┬─────┘ └─────┬─────┘ └─────┬─────┘ └─────┬─────┘ └─────┬─────┘
│ │ │ │ │
▼ ▼ ▼ ▼ ▼
Strežniški Odjemalski Podpis. Razvojni Testni
certifikati certifikati kode certifikati certifikati
Lastnosti:
- Višja varnost z dodatno ravnjo
- Ločitev produkcije in razvoja
- Policy CA imajo lahko različne pravilnike certifikatov
- Primerno za velike organizacije z zahtevami skladnosti
Priporočena konfiguracija po tipu CA
Korenski CA
| Lastnost | Priporočilo | Utemeljitev |
|---|---|---|
| Algoritem | ML-DSA-87 | Najvišja varnost za dolgoživi anchor zaupanja |
| Veljavnost | 20-25 let | Dolgotrajen, sprememba je zahtevna |
| pathLength | Število ravni | npr. 4 za prilagodljivost |
| Key Usage | keyCertSign, cRLSign | Samo CA operacije |
| Lokacija | Offline/HSM | Zahtevana najvišja zaščita |
Server-CA
| Lastnost | Priporočilo | Utemeljitev |
|---|---|---|
| Algoritem | ML-DSA-65 | Ravnovesje varnost/zmogljivost |
| Veljavnost | 8-10 let | Krajša rotacija kot korenski |
| pathLength | 0 | Pod-CA niso dovoljeni |
| Key Usage | keyCertSign, cRLSign | CA operacije |
| Extended Key Usage | serverAuth (opcijsko) | Omejitev na TLS strežnike |
| Lokacija | Online (zaščiteno) | Pogosta uporaba za izdajanje |
CodeSign-CA
| Lastnost | Priporočilo | Utemeljitev |
|---|---|---|
| Algoritem | ML-DSA-65 ali ML-DSA-87 | Visoka varnost za podpisovanje kode |
| Veljavnost | 6-8 let | Priporočena krajša rotacija |
| pathLength | 0 | Pod-CA niso dovoljeni |
| Extended Key Usage | codeSigning | Samo podpisovanje kode |
| Lokacija | HSM | Povečana zaščita za podpisovanje kode |
Extended Key Usage (EKU) OID-i
| Namen uporabe | OID | Tip CA |
|---|---|---|
| TLS avtentikacija strežnika | 1.3.6.1.5.5.7.3.1 | Server-CA |
| TLS avtentikacija odjemalca | 1.3.6.1.5.5.7.3.2 | Client-CA, Device-CA |
| Podpisovanje kode | 1.3.6.1.5.5.7.3.3 | CodeSign-CA |
| Zaščita e-pošte (S/MIME) | 1.3.6.1.5.5.7.3.4 | User-CA |
| Časovno žigosanje | 1.3.6.1.5.5.7.3.8 | TSA-CA |
| OCSP podpisovanje | 1.3.6.1.5.5.7.3.9 | OCSP odzivnik |
Dedovanje EKU: Če ima CA EKU, smejo izdani certifikati imeti samo EKU, ki so podmnožica EKU CA. Server-CA s samo serverAuth ne more izdajati certifikatov s clientAuth.
Povezani scenariji
| Povezava | Scenarij | Opis |
|---|---|---|
| Predpogoj | 1.1 Korenski CA | Korenski CA mora obstajati |
| Predpogoj | 1.2 Vmesni CA | Osnove vmesnega CA |
| Naslednji korak | 1.4 Shramba zaupanja | Distribucija korenskega certifikata |
| Naslednji korak | 1.6 CRL/OCSP | Vzpostavitev preklica |
« ← 1.2 Vmesni CA | ▲ PKI infrastruktura | 1.4 Shramba zaupanja → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: dne 30.01.2026 ob 06:33
