¿Eso es correcto? ¿Hay otro beneficio?
Una CA raíz fuera de línea sacrifica la conveniencia para obtener seguridad.
Pero, de todos modos, CA debe emitir nuevos certificados de CA intermedios y revocar
los viejos ... así que el único beneficio que puedo encontrar es que el problema de CA
Certificado intermedio diferente para diferentes propósitos.
Sí, en caso de un Intermedio comprometido, la CA raíz se debe utilizar para revocar certificados antiguos y emitir nuevos ... sin embargo, como usted observa, estamos asumiendo
la CA raíz está fuera de línea
así que, a diferencia de una CA intermedia, no puede simplemente conectarse a través de la red, enviar el CSR y recuperar el certificado. "Fuera de línea" en este contexto generalmente significa " air-gapped ". Alguien debe empaquetar la CSR para el nuevo Intermedio en un disco USB, ir a la sala de servidores, sentarse en el teclado frente a la CA raíz y realizar la operación localmente. El nuevo certificado se debe colocar en el disco USB y volver a llevarlo, luego conectarlo a un sistema en red para permitir que se cargue en la CA intermedia.
Hacer eso cuando los certificados intermedios necesitan actualizarse no es difícil. Hacerlo en cualquier volumen se vuelve impráctico, por lo que las CA raíz en general no firman certificados individuales.
A partir de ese momento, la CA intermedia comienza a firmar las solicitudes de certificado, pero en el modo en línea: las conexiones de red transmiten los CSR y las conexiones de red distribuyen los certificados.
Por lo tanto, la diferencia es que la CA intermedia está en línea para un servicio rápido y conveniente de las solicitudes. La CA raíz está fuera de línea para un servicio de solicitudes lento, incómodo, pero más seguro. El uso de múltiples CA intermedias permite el "riesgo" de tener la autoridad en línea y accesible para dividirse en diferentes conjuntos de certificados; Los huevos se reparten en diferentes cestas.