2.2.3. 私有证书颁发机构
选择 CA 软件包
如果要负责为您的系统签名证书,请设置私有 CA。要设置私有 CA,您需要访问提供创建和签名证书的实用程序的软件包。有以下几种软件包可用。
openssl 软件包
一个可让您设置私有 CA 的软件包是 OpenSSL http://www.openssl.org。OpenSSL 软件包包含用于生成和签名证书的基本命令行工具。OpenSSL 命令行工具的完整文档位于 http://www.openssl.org/docs。
使用 OpenSSL 设置私有 CA
要设置私有 CA,请查看 第 2.5 节 “创建您自己的证书” 中的说明。
为私有证书颁发机构选择主机
选择主机是设置私有 CA 的一个重要步骤。与 CA 主机关联的安全级别决定了与 CA 签名的证书关联的信任级别。
如果您要设置用于 Red Hat Fuse 应用程序的开发和测试的 CA,请使用应用程序开发人员可访问的任何主机。但是,当您创建 CA 证书和私钥时,不要在运行安全关键应用程序的任何主机上使用 CA 私钥。
安全预防措施
如果您要设置 CA 为您要部署的应用程序签名的证书,使 CA 主机尽可能安全。例如,采取以下预防措施来保护您的 CA:
- 不要将 CA 连接到网络。
- 将 CA 的所有访问权限限制为有限一组可信用户。
- 使用 RF-shield 防止 CA 不受无线电音。