它通常被认为是至少有2层的良好做法.根ca和下属颁发CA.颁发CA向您的计算机或用户颁发所有证书,并且root颁发从属CA证书.这意味着您可以在不调试新的从属CA时关闭根,并通过将其从网络中分离,将其锁定在保险库中并放置大的可怕标记来保护该根.问题是你为什么要这样做？

证书的目的是做许多事情,但一个是将一个人或一个工具包认证到另一个人.证书执行此操作的方式是使用privat密钥对数据进行签名,并允许您使用证书中的公钥检查此签名.如果它验证,那么您知道源可以被信任,因为它只有私钥.那么问题就变成了我如何信任证书和公钥.您可以信任这一点,因为它使用颁发CA的私钥进行了签名.这样做的结果是,如果你的CA受到了损害,你就什么都不相信.

因此sub-ca和脱机根的好处是你的root ca和相关密钥几乎不可能妥协.如果您的某个子cas被泄露,那么您只需撤销发行子ca并构建另一个重新发布您的证书和crls.从受感染的CA颁发的所有证书将不再被删除.如果您的root被盗用,并且人们可能最终相信他们正在连接到您的基础架构,那么您就无法做到这一点.