从业务闭环的角度思考,需要有CA (Root)的存在,然而使用商业的CA服务,按证书收费,这不是普通体量的公司能承担的,而IoT设备的数量远超网站需要,因此物联网公司直接去买海量的证书也不划算。
因此,必须是自有的CA服务,然而,到底是托管型合适还是自建合适呢?
就目前国内的情况来说,各种托管型的CA产品也有,只是不清楚其质量,以及面向全球访问的能力是否足够?因此自建其实也是合理的。
自建的需要考虑一些规格上的问题,比如:
CA软件系统:自己开发还是OpenCA或其他?
操作系统
服务器配置
数据库的选择,或是否支持多种数据库
目录访问,LDAP?AD?
热备方案
日志方案及多级规格,签名访问
审计的需求
支持何种HSM?
CA业务系统的技术方案
支持的证书量规模。。。。。。这个取决于业务的规模,如果使用可扩展的方案,则技术难度会稍大。
—————-
CA系统的物理环境(机房等)
—————-
CA系统的管理制度,运维规则