Sto pensando a come progettare e strutturare CP e CPS per più CA costruite in modo gerarchico e conformi a RFC 3647 .
La struttura delle CA in build da una CA radice a più CA subordinate, ciascuna delle quali offre diversi profili di servizio e certificato PKI:
CA root - > CP0 e CPS0
- Sub CA 1 - > CP1 e CPS1
- emissione di certificati VPN
- Sub CA 2 - > CP2 e CPS2
- emissione di certificati client
- emissione di certificati RA
- Sub CA 3 - > CP3 e CPS3
- emissione di certificati per l'autenticazione con estensione personalizzata
- Sub CA 4 - > CP4 e CPS4
- emissione di certificati per dispositivi
- Sub CA 5 - > CP5 e CPS5
- emissione di certificati per carte di pagamento
- emissione di certificati per l'autorizzazione di pagamento
- emissione di certificati per l'accesso commerciante
- ecc ...
Ora so cos'è OID e come definire il CP nel certificato insieme all'URL in CPS. Attualmente solo la CA radice ha definito "qualsiasi politica" con OID 2.5.29.32.0. Ogni CA subordinata ha una propria definizione di OID e pertanto dovrebbe avere il proprio CP e CPS per i servizi PKI che fornisce. Ma con un numero crescente di Sub CA è davvero difficile mantenere tutti questi CP e CPS.
Qual è la migliore pratica su come gestire il complesso punto di vista degli ambienti PKI di CP e CPS?
Devo iniziare a utilizzare OID sul livello del profilo del certificato e non sulla CA secondaria? E in tal caso crea uno o due CP con la definizione di tutti gli OID relativi ai certificati che possono essere emessi?
In questo caso può esserci un CP con:
- CP - > OID1
- emissione di certificati VPN - > Oid2
- emissione di certificati client - > Oid3
- emissione di certificati RA - > OID4
- emissione di certificati per l'autenticazione con estensione personalizzata - > OID5
- emissione di certificati per dispositivi - > OID6
- emissione di certificati per carte di pagamento - > OID7
- emissione di certificati per l'autorizzazione di pagamento - > OID8
- emissione di certificati per l'accesso commerciante - > OID9
Quindi posso mantenere solo una versione di CP e diverse versioni di CPS relative ai servizi PKI diverse l'una dall'altra o anche solo una CPS per l'intero ambiente?