2
Das DoD tut dies und ich kann den Anwendungsfall dafür nicht herausfinden. Sie haben unterschiedliche Zwischen-CAs, aber ich kann mir einfach keine Situation vorstellen, in der sie einer CA misstrauen und nicht der anderen.Warum sollte eine Organisation separate Zertifikate für Identität und Signatur verwenden?
Was sind die Nachteile des Hinzufügens der Funktionen Signieren und Sichere E-Mail zu einem Zertifikat, das ein Benutzer normalerweise nur zum Erstellen seiner ID verwendet?
Der Nachteil, ich denke, ist mehr auf der Anwendungsseite als der Emittent/CAC-Seite. Mehrere Zertifikate zu haben bedeutet, dass Sie aus einem Dropdown-Menü wählen müssen, das zu Benutzern und manchmal sogar Anwendungsentwicklern führt, die nach dem Zufallsprinzip auswählen, welches Zertifikat für die ID verwendet werden soll, da beide für die ID verwendet werden können. – Saikron
Ich nehme an, sie könnten einen anderen Satz von CAs verwendet haben, um die ID-Zertifikate zu signieren und dann keine anderen CA Root/Intermediate-Zertifikate in den Trust Store zu legen außer denen, die ID-Zertifikate ausstellen. Habe ich deine Frage richtig beantwortet? – Sanjeev
Sie haben verschiedene Zwischenzertifikate verwendet, um die "E-Mail" und "ID" -Zertifikate zu signieren, aber meine Frage ist, warum das jemals etwas ausmachen würde. Ich kann mir nicht ein Szenario vorstellen, bei dem es richtig wäre, das Vertrauen in das E-Mail-Zertifikat einer Person und nicht in sein ID-Zertifikat zu widerrufen. Warum sollte eine Anwendung nur dem ID-Zertifikat vertrauen? Ich weiß nicht, wie die meisten Leute das machen, aber in unserer Testumgebung vertrauen wir nur den DoD-Root-CAs. Ich sehe, was Sie sagen, und ich verstehe, dass sie eine Menge Dinge tun können, aber meine Frage ist wirklich warum haben sie oder würden sie. Danke, dass du es trotzdem versucht hast. – Saikron