Estoy pensando en cómo diseñar y estructurar CP y CPS para múltiples CAs construidas de una manera jerárquica y compatible con RFC 3647 .
La estructura de las CA en la compilación de una CA raíz a varias CA subordinadas, cada una de las cuales brinda servicios de PKI y perfiles de certificado diferentes:
Raíz CA - > CP0 y CPS0
- Sub CA 1 - > CP1 y CPS1
- emitir certificados VPN
- Sub CA 2 - > CP2 y CPS2
- emitir certificados de cliente
- emitir certificados RA
- Sub CA 3 - > CP3 y CPS3
- emitir certificados para la autenticación con extensión personalizada
- Sub CA 4 - > CP4 y CPS4
- emitir certificados para dispositivos
- Sub CA 5 - > CP5 y CPS5
- emisión de certificados para tarjetas de pago
- emitir certificados para la autorización de pago
- emitir certificados para el acceso de comerciantes
- etc ...
Ahora sé qué es OID y cómo definir el CP en el certificado junto con la URL a CPS. Actualmente solo la CA raíz ha definido "cualquier política" con OID 2.5.29.32.0. Cada CA subordinada tiene su propia definición de OID y, por lo tanto, debe tener su propio CP y CPS para los servicios PKI que proporciona. Pero con el número creciente de Sub CAs, es realmente difícil mantener todos estos CP y CPS.
¿Cuál es la mejor práctica sobre cómo manejar los entornos PKI complejos desde el punto de vista de CP y CPS?
¿Debo comenzar a usar OID en el nivel de perfil de certificado y no en Sub CA? ¿Y en ese caso cree uno o dos CP con la definición de todos los OID relacionados con los certificados que se pueden emitir?
En ese caso, puede haber un CP con:
- CP - > OID1
- emitir certificados VPN - > OID2
- emitir certificados de cliente - > OID3
- emitir certificados RA - > OID4
- emitir certificados para la autenticación con extensión personalizada - > OID5
- emitir certificados para dispositivos - > OID6
- emitir certificados para tarjetas de pago - > OID7
- emitir certificados para la autorización de pago - > OID8
- emitir certificados para el acceso de comerciantes - > OID9
¿Entonces puedo mantener solo una versión de CP y varias versiones de CPS relacionadas con servicios PKI diferentes entre sí o también solo una CPS para todo el entorno?