2K8 - Offline Root CA - Backup

[blutgraf]

Hallo, ich habe eine Frage was ihr von folgenden PKI Konzept haltet?

Es soll ein 2-Tier PKI eingeführt werden mit folgenden Komponenten:
- Offline Root CA
installiert auf Notebook mit PCMCIA HSM zur sicheren Speicherung des Root-Keys (2 HSM (Luna CA3) vorhanden einer als Backup)

- 2 Issuing CA virtualisiert auf ESX Farm mit Anschluss an einer LUNA SA Network HSM (2 HSM in LUNA und 1 HSM als Backup)

Die komplette Infrastruktur wird über Netbackup gesichert. Außer der Root CA.

Nun habe ich folgende Fragen:

a) haltet ihr es sinnvoll die Root CA seperat zu sicheren? Ein RDX USB Laufwerk wäre noch vorhanden oder würdet ihr das über Netbackup machen?

b) Was haltet ihr davon den Root CA Server auf ein Notebook zu installieren, der Vorteil ist meiner Meinung das er einfach im Safe verstaut werden kann.