ユーザーが独自のプライベート キーを生成するかどうかを考慮してください。一部の構成では、CA によってユーザー用の証明書およびプライベート キーの両方が生成されます。この場合、通常のユーザーは証明書署名要求を作成する方法を知らずに済みますが (Web
上の主要な CA の多くはこのように機能します)、プライベート キーを何らかの形でユーザーに安全に渡すことが必要となります。非対称暗号化では、プライベート キーはどこにも送信されないため、傍受されることもありません。このセキュリティ上のメリットを最大限に高めるには、ユーザーは自分で
openssl.exe を使用してプライベート キーおよび一致する証明書の署名要求を作成し、後者を CA に送信して、CA が証明書を作成できるようにする必要があります。
下位 CA マシンですべての証明書要求を処理すると便利な場合があります。この際、ルート CA マシンをオンラインにする必要があるのは、下位 CA の認証に使用する場合のみです。認証後、他の下位 CA を認証するために必要となるまで、マシンをオフラインにすることも、プライベート
キーだけをオフラインに保存することもできます。これにより、不正にアクセスされる可能性のある時間を最小限に抑えて、ルート CA のセキュリティを大幅に向上できます。また、ユーザーは、単一のマシン、つまりルート CA マシンに依存せずに、作業を継続できるようになります。
ユーザーは、すべての下位 CA の証明書ではなく、ルート CA の証明書をブラウザー (または使用する SSL 対応ソフトウェア) にインストールすることも可能です。
厳密な管理が必要な場合は、デフォルトでインストールされているすべての CA 証明書を Web ブラウザーから削除し、自分で選択した証明書だけをインストールできます。インストールする証明書は、プライベート PKI が設定されている場合には独自の
CA から選択できます。ただし、PKI の外部にある他の Web サイトへのアクセスに対する影響について慎重に検討する必要があります。
Web サイトの所有者として、否認不可のメリットが必要な場合は、つまり、特定のクライアントからデータが送信されたことを証明できるようにする場合は、完全認証を使用する必要があります。必要に応じて、クライアント用のクライアント証明書を生成し (この点では
CA として機能)、クライアントで保存して使用できるようにその証明書をクライアントに送信できます。このような個人証明書については、その証明書をソフトウェア (ブラウザーなど) にインストールする方法をクライアントに示す必要があることに注意してください。
World Wide Web 上で使用される「世界的な」PKI の特定の機能について検討することをお勧めします。これらの機能は、独自の PKI でエミュレートすることもしないこともできます。