المراجع المصدقة الثانوية ولماذا قد تحتاج إلى واحد

ما هو المرجع المصدق الثانوي؟

في الإنترنت البنية التحتية للمفتاح العام (الإنترنت PKI) ، تكمن ثقة الجمهور في نهاية المطاف في شهادات المرجع المصدق الجذر التي تحميها سلطات التصديق مثل SSL.com. هذه الشهادات مضمنة في متصفحات الويب وأنظمة التشغيل والأجهزة للمستخدمين ، وتسمح للمستخدمين بالثقة في هويات خوادم الإنترنت وإنشاء اتصالات مشفرة معهم (لمزيد من المعلومات التفصيلية ، راجع مقالة SSL.com على المتصفحات والتحقق من الشهادة).

نظرًا لأنها التكنولوجيا الأساسية التي تتيح الاتصال الموثوق والآمن على الإنترنت ، كما أنها صعبة ومكلفة في إنشائها وصيانتها ، فإن المفاتيح الخاصة لشهادات الجذر الموثوقة علنًا تعتبر ذات قيمة كبيرة ويجب حمايتها بأي ثمن. لذلك ، من المنطقي أن تصدر المراجع المصدقة شهادات الكيان النهائي للعملاء من الشهادات الثانوية (يشار إليها أحيانا باسم الشهادات المتوسطة). يتم توقيعها بواسطة شهادة الجذر ، والتي يتم الاحتفاظ بها دون اتصال بشكل آمن ، ويتم استخدامها لتوقيع شهادات الكيان النهائي ، مثل SSL /TLS شهادات لخوادم الويب. هذا يخلق سلسلة من الثقة بالرجوع إلى المرجع المصدق الجذري ، ولا تؤدي تسوية الشهادة الثانوية ، مهما كانت سيئة ، إلى الحاجة الكارثية إلى إبطال كل شهادة تم إصدارها من قبل المرجع المصدق الجذر. تدوين هذه الاستجابة المنطقية للوضع ، CA / Browser Forum متطلبات خط الأساس حظر إصدار شهادات الكيان النهائي مباشرة من المراجع المصدقة الجذرية ، ويتطلب بشكل أساسي الاحتفاظ بها بلا اتصال ، مما يفرض استخدام المراجع المصدقة الثانوية (المعروفة أيضًا باسم إصدار CAs) في الإنترنت PKI.

بالإضافة إلى الحفاظ على جذر المرجع المصدق (CA) آمنًا ، تؤدي المراجع المصدقة التابعة وظائف إدارية داخل المؤسسات. على سبيل المثال ، يمكن استخدام مرجع مصدق (CA) ثانوي لتوقيع شهادات SSL وآخر لتوقيع الرمز. في حالة الإنترنت العام PKI، يتم تفويض بعض عمليات الفصل الإدارية هذه بواسطة منتدى CA / Browser. في الحالات الأخرى ، التي نرغب في فحصها عن كثب هنا ، قد يصدر المرجع المصدق الجذر CA ثانويًا ويفوضه إلى مؤسسة منفصلة ، مما يمنح القدرة على توقيع الشهادات الموثوقة بشكل عام إلى هذا الكيان.

لماذا قد تحتاج إلى واحد

الإجابة المختصرة هي أن CA التابع المستضاف يوفر لك أكبر قدر ممكن من التحكم في إصدار شهادات الكيان النهائي الموثوقة بشكل عام ، بجزء بسيط من التكلفة المحتملة لإنشاء المرجع المصدق الجذر الخاص بك و / أو الخاص PKI البنية التحتية.

في حين أن PKI قد تحتوي سلسلة الثقة على أكثر من ثلاث شهادات ، ويمكن ترتيبها في تسلسل هرمي معقد ، يظل المبدأ العام لشهادات الجذر ، والمتوسطة ، وشهادة الكيان النهائي متسقًا: يمكن للكيانات التي تتحكم في مراجع التصديق الثانوية الموقعة من قبل المرجع المصدق الجذر الموثوق بها أن تصدر شهادات موثوق بها ضمنيًا من خلال أنظمة تشغيل المستخدمين ومتصفحات الويب. بدون وجود مرجع مصدق ثانوي موجود كجزء من سلسلة ثقة إلى مرجع مصدق جذري ، يمكن للمؤسسة فقط إصدارها موقعة ذاتيا الشهادات التي يجب تثبيتها يدويًا من قبل المستخدمين النهائيين ، والذين يجب عليهم أيضًا اتخاذ قراراتهم الخاصة بشأن الثقة في الشهادة أم لا ، أو إنشاء شهادة خاصة PKI البنية التحتية (انظر أدناه). إن تجنب عائق قابلية الاستخدام والشريط المحتمل للثقة ، مع الحفاظ على القدرة على إصدار شهادات مخصصة حسب الرغبة وفقًا لأهداف أعمال مؤسستك ، هو أحد الأسباب الرئيسية وراء رغبتك في أن يكون المرجع المصدق التابع لك جزءًا من مؤسستك PKI جدولة.

هناك عدد من الأسباب الإجبارية الأخرى التي قد ترغب المنظمة في الحصول على المرجع المصدق التابع لها. بعض هذه هي:

  • شهادات تحمل علامة تجارية. قد ترغب الشركات مثل شركات استضافة الويب في تقديم SSL للوجه العام /TLS شهادات لعملائهم. مع وجود مرجع مصدق ثانوي موقّع من مرجع مصدق جذر عام ، يمكن لهذه الشركات إصدار شهادات موثوقة علنًا باسمها ، حسب الرغبة ، دون الحاجة إلى إنشاء مرجع مصدق جذري خاص بها في المستعرض ومتاجر جذر نظام التشغيل أو الاستثمار بكثافة في PKI البنية التحتية.
  • مصادقة العميل. يمنح التحكم في مرجع مصدق ثانوي القدرة على توقيع الشهادات التي يمكن استخدامها لمصادقة أجهزة المستخدمين النهائيين وتنظيم الوصول إلى الأنظمة. قد ترغب الشركة المصنعة لمنظم الحرارة الرقمية أو أجهزة فك التشفير في إصدار شهادة لكل جهاز ، مما يضمن أن أجهزتها فقط هي التي يمكنها الاتصال بخوادمها. من خلال المرجع المصدق التابع لها ، تتمتع المؤسسة بالسيطرة الكاملة على إصدار الشهادات وتحديثها حسب الحاجة على الأجهزة التي تصنعها وتبيعها و / أو توفر خدمات لها. قد تتطلب احتياجات العمل المحددة أو تستفيد من استخدام موثوق به بشكل عام وليس خاص PKI في هذا الدور. على سبيل المثال ، قد يشتمل جهاز إنترنت الأشياء على خادم ويب مدمج ترغب الشركة المصنعة في إصدار SSL / SSL موثوق به بشكل فريد وموثوق به بشكل عام.TLS شهادة.
  • التخصيص. مع المرجع المصدق التابع لها ، ومع الأخذ في الاعتبار أن الشهادات التي تواجه الجمهور تخضع لمتطلبات الخط الأساسي لمنتدى CA / Browser ، فإن المؤسسة حرة في تخصيص وتكوين شهاداتها ودورة حياتها لتلبية احتياجاتها الخاصة.

خاص مقابل عام PKI

عند تشكيل PKI خطة ، يجب على الشركات اتخاذ خيارات بين القطاعين العام والخاص PKI. لأغراض هذه المقالة ، من الأهمية بمكان ملاحظة أنه إذا رغبت إحدى المنظمات في إصدار شهادات عامة وتتوقع أن تكون موثوقة ضمنيًا ، فإن المنظمة يجب لديك مرجع مصدق ثانوي موقّع من مرجع مصدق جذر موثوق به بشكل عام ، أو تمكن من الحصول على شهادة موقعة ذاتيًا موثوقة من قبل برامج الجذر المختلفة. بدون سلسلة من الثقة إلى مرجع مصدق جذري ، يضطر المستخدمون النهائيون إلى اتخاذ قرارهم الخاص بالثقة بدلاً من الاعتماد ببساطة على نظام التشغيل ومخازن جذر المتصفح. من ناحية أخرى ، إذا كانت ثقة الجمهور ليس مطلوب خاص PKI البنية التحتية تحرر المنظمة من الحاجة إلى الالتزام بالمعايير المنظمة للجمهور PKI. في هذه الحالة ، من الممكن الاستشهاد بحل شائع للاستخدام خدمات شهادة Microsoft Active Directory في المنزل PKI. شاهد مقالة SSL.com حول هذا الموضوع للحصول على شرح أكثر تفصيلاً بين العامة والخاصة PKI.

داخلي مقابل SaaS

عند الموازنة بين الفوائد الخاصة مقابل العامة PKI، من المهم أيضًا للمؤسسة أن تأخذ في الاعتبار التكلفة المحتملة للتوظيف والأجهزة ، وأن تدرك أنها ستكون مسؤولة عن أمن مفاتيح الجذر الخاصة والمرؤوس الخاصة بها. إذا كانت ثقة الجمهور مطلوبة ، فإن الجهد الضروري لإنشاء والحفاظ على الامتثال لنظام التشغيل وبرامج جذر المستعرض أمر مهم لدرجة أنه لا يمكن التغلب عليه للعديد من المؤسسات. مستضاف PKI لكلا الجمهور و المراجع المصدقة الخاصة متاحة الآن من العديد من المراجع المصدقة الجذرية (بما في ذلك SSL.com) ويمكن أن تساعد عملاء المؤسسة على تجنب الكثير من النفقات والجهود الداخلية PKI. عادةً ما يسمح المرجع المصدق الثانوي المستضاف للمؤسسات بإصدار وإدارة دورة حياة شهادات الكيان النهائي عبر واجهة مستندة إلى الويب و / أو واجهة برمجة التطبيقات التي يقدمها المضيف. مستضاف PKI، موثوق به علنًا أم لا ، يمنح المؤسسات أيضًا راحة البال بمعرفة أن مضيفها PKI تخضع المرافق والعمليات لعمليات تدقيق منتظمة وشاملة ومكلفة ، وسيتم صيانتها وتحديثها بنشاط مع تطور المعايير وأفضل الممارسات.

وفي الختام

إذا كانت مؤسستك بحاجة إلى القدرة على إصدار شهادات موثوقة بشكل عام ، فإن المرجع المصدق الثانوي المستضاف هو حل مناسب وفعال من حيث التكلفة. إذا كنت تشعر أن المرجع المصدق (CA) التابع يمكن أن يكون خيارًا جيدًا لك ، فالرجاء عدم التردد في الاتصال بنا على support@ssl.com للمزيد من المعلومات.

وكما هو الحال دائمًا ، شكرًا على اهتمامك بـ SSL.com، حيث نعتقد أن الإنترنت الآمن هو إنترنت أفضل.

فريق دعم SSL.com

المؤلف - مسؤول المحتوى
جميع المشاركات

مقالات ذات صلة

عرض جميع المقالات
فيسبوك يوتيوب تويتر جيثب

اشترك في النشرة الإخبارية لـ SSL.com

ما هو SSL /TLS?

البدء

اشترك في النشرة الإخبارية لـ SSL.com

لا تفوت المقالات والتحديثات الجديدة من SSL.com

ابق على اطلاع وآمن

SSL.com هي شركة عالمية رائدة في مجال الأمن السيبراني، PKI والشهادات الرقمية. قم بالتسجيل لتلقي آخر أخبار الصناعة والنصائح وإعلانات المنتجات من SSL.com.

نحن نحب ملاحظاتك

شارك في استبياننا وأخبرنا بأفكارك حول عملية الشراء الأخيرة.

خذ المسح