2.2.3. 私有证书颁发机构

选择 CA 软件包

如果要负责为您的系统签名证书,请设置私有 CA。要设置私有 CA,您需要访问提供创建和签名证书的实用程序的软件包。有以下几种软件包可用。

openssl 软件包

一个可让您设置私有 CA 的软件包是 OpenSSL http://www.openssl.org。OpenSSL 软件包包含用于生成和签名证书的基本命令行工具。OpenSSL 命令行工具的完整文档位于 http://www.openssl.org/docs

使用 OpenSSL 设置私有 CA

要设置私有 CA,请查看 第 2.5 节 “创建您自己的证书” 中的说明。

为私有证书颁发机构选择主机

选择主机是设置私有 CA 的一个重要步骤。与 CA 主机关联的安全级别决定了与 CA 签名的证书关联的信任级别。

如果您要设置用于 Red Hat Fuse 应用程序的开发和测试的 CA,请使用应用程序开发人员可访问的任何主机。但是,当您创建 CA 证书和私钥时,不要在运行安全关键应用程序的任何主机上使用 CA 私钥。

安全预防措施

如果您要设置 CA 为您要部署的应用程序签名的证书,使 CA 主机尽可能安全。例如,采取以下预防措施来保护您的 CA:

  • 不要将 CA 连接到网络。
  • 将 CA 的所有访问权限限制为有限一组可信用户。
  • 使用 RF-shield 防止 CA 不受无线电音。