Lavoro per un'azienda che vende prodotti software a clienti alcuni dei quali non hanno le risorse e / o il know-how per costruire e mantenere la propria CA (utilizzata per la comunicazione SSL del nostro software). In questi casi dobbiamo fornire i certificati per loro. I clienti sono completamente indipendenti e NON dovrebbero essere in grado di comunicare tra loro, cioè non ci dovrebbe essere alcun trust SSL tra Cliente I e Cliente II. Ho una domanda piuttosto generale su come costruire al meglio una simile struttura CA. Queste sono le due varianti attualmente considerate.
Azienda CA principale con SubCA per ciascun cliente:
Root CA
/ | \
/ | \
Customer I Customer II Customer III
CA indipendente (radice) per ogni cliente:
Customer I Customer II Customer III
Quali sarebbero i pro e i contro di ciascuna variante? Esiste una best practice consolidata per tale impostazione?