PKI-系统访问策略
在PKI系统中,为了系统的安全,需要用防火墙把PKI的各个部分分为不同的区域,同时加上防火墙的访问策略,防止不必要的服务访问系统。
大的方向分为3个区域:
1. KMC区域(内网)
a) KMC服务器
b) KMC数据库
c) 加密机
2. CA区域(内网)
a) 根CA服务器
b) 二级CA服务器
c) CA数据库服务器
d) 主ldap
3. RA区域(内网)
a) RA服务器
b) RA数据库
c) 内网用户管理终端(IE)
d) SSL安全认证网关
e) SVS签名验证服务器
4. 外网
a) 外网RA
b) 外网RA数据库
c) 从LDAP
d) 外网用户访问终端(IE)
访问策略
允许CA区域主动访问KMC区域,获取密钥对。
允许CA区域主动访问主LDAP,实时发送CRL列表。
内网主LDAP主动访问外网从LDAP,实时发送CRL列表。
允许内外RA主动访问CA,发送用户信息。