14.2.4. 企业级组

注意
应该不会向该组分配真实用户。
在子系统配置期间,每个子系统实例都加入到一个安全域。每个子系统实例将自动分配一个特定于子系统的角色,作为企业管理员。这些角色在安全域的子系统之间自动提供可信关系,这样每个子系统都可以高效地与其他子系统交互。例如,这允许 OCSP 将 CRL 发布信息推送到域中的所有 CA,KRAs 推送 KRA 连接器信息,以及 CA 可以自动批准 CA 中生成的证书。
企业子系统管理员具有足够的特权,以便对域中的子系统执行操作。每个子系统都有自己的安全域角色:
  • Enterprise CA 管理员
  • 企业 KRA 管理员
  • Enterprise OCSP 管理员
  • Enterprise TKS 管理员
  • Enterprise TPS 管理员
另外,CA 实例有一个安全域管理员组,用于管理域、访问控制、用户和域内的信任关系。
每个子系统管理员使用 SSL 客户端证书和由安全域 CA 配置期间发布的子系统证书,向其他子系统进行身份验证。