该仓库应该以离线形式保存

根据《云梦镜像公钥基础设施认证实践声明》1.0版本要求，该仓库应维持两个中间CA，分别是

• DreamReflex Application Intermediate CA - 用于签发内部应用、跨网、零信任网络应用间的证书
• DreamReflex Server Intermediate CA - 用于管理内网、办公网、核心网间的HTTPS证书

应用中间CA的范围是：

1. 签发mTLS应用间的证书
2. 签发内部核心网和外部网络中所有进行双向通讯的应用所需的证书
3. 签发内部应用和所有辅助设施之间通信的证书

除上述范围外不允许进行其他用途

服务器通讯中间CA的范围是：

1. 签发内网依赖HTTPS服务的证书

除上述范围外不允许进行其他用途

专用于TSA服务，不可用于其他用途

注：时间戳服务的证书没有bundle的证书链，您可以自行打包证书链。

根证书文件以代码仓库形式公开，密钥文件通过备份后销毁，中间CA做法相同。备份措施如下：

1. 打印为明文纸质版
2. 通过加密后存储在移动U盘中

1. 服务器通讯中间CA只能由网关工控机的内部工具进行签发，详见《服务器通讯中间CA签发流程》
2. 应用中间CA由云梦镜像PKI服务器授权签发。