- tocdepth
2
Концепции PCA
- Корневой центр сертификации (Root CA)
Основной доверенный сертификат в инфраструктуре открытых ключей (PKI). Он выпускает подчиненные центры сертификации, частные сертификаты и списки отозванных сертификатов (CRL).
- Подчиненный центр сертификации (Subordinate CA)
Следующая ступень иерархии центров сертификации. Он отделяет частные сертификаты от корневого CA и проверяет их на следующем уровне цепочки сертификатов. Подчиненный центр сертификации может выпускать CA нижнего уровня, если длина его пути больше нуля. От длины пути зависит количество CA, которое может выпустить подчиненный CA.
- Частный сертификат
Сертификат, который устанавливается на клиенте (client certificates) или сервере (server certificates). Частный сертификат содержит учетные данные для HTTPS-соединения между субъектами, владеющим и не владеющими сертификатом. Он находится на нижнем уровне цепочки сертификатов, используется для аутентификации объекта и не может выпускать сертификаты.
- Список отозванных сертификатов (Certificate Revocation List)
Список сертификатов, отозванных родительским центром сертификации, когда они еще действительны. Отозваны могут быть подчиненные CA и частные сертификаты.
- Цепочка сертификатов
Файл, который объединяет все сертификаты от корневого центра сертификации до частных сертификатов в определенной последовательности. Цепочка сертификатов помогает проверить:
целостность цепочки сертификатов и их действительность;
действительность корневого CA, который предварительно установлен в хранилище доверия.
- Срок действия сертификата PCA
Срок действия корневого центра сертификации устанавливает верхний предел срока действия всех нижестоящих CA и сертификатов. Когда срок действия корневого CA истекает, все нижестоящие сертификаты становятся недействительными.
В PCA срок действия сертификата не может превышать срок действия родительского центра сертификации. Срок действия в цепочке сертификатов от корневого CA до частных сертификатов постепенно уменьшается.
Срок действия сертификата зависит от его типа и уровня риска. Чем чаще используется сертификат, тем выше риск утечки ключей, поэтому часто используемые частные сертификаты имеют более короткий срок действия.
Тип сертификата
Минимальный срок действия
Максимальный срок действия
Поддержка расширения
Корневой CA
1 час
30 лет
Нет
Подчиненный CA
1 час
20 лет
Нет
Частный сертификат
1 час
20 лет
Нет
для Dev & Test