Какво е подчинен CA?
В интернет инфраструктурата на публичните ключове (Интернет PKI), общественото доверие в крайна сметка се намира в основните сертификати за сертифициране на сертификатите, защитавани от сертифициращите органи като SSL.com. Тези сертификати са вградени в уеб браузърите, операционните системи и устройствата на крайните потребители и позволяват на потребителите както да се доверят на самоличността на интернет сървърите, така и да установят криптирана комуникация с тях (за по-подробна информация вижте статията на SSL.com за Браузъри и валидиране на сертификат).
Тъй като те са основната технология, позволяваща надеждна и сигурна комуникация в Интернет и са трудни и скъпи за установяване и поддръжка, частните ключове на публично доверените коренни сертификати са изключително ценни и трябва да бъдат защитени на всяка цена. Поради това е най-разумно за CA да издават сертификати за крайни обекти на клиенти от подчинени сертификати (понякога също наричани като междинни сертификати). Те се подписват от основния сертификат, който се поддържа сигурно офлайн и се използват за подписване на сертификати на крайни обекти, като SSL /TLS сертификати за уеб сървъри. Това създава a верига на доверие което води обратно към root CA и компрометирането на подчинен сертификат, колкото и лошо да е това, не води до катастрофална необходимост от отмяна на всеки сертификат, издаден някога от root CA. Кодифицирайки този здрав разум отговор на ситуацията, форумът на СА / Браузър Основни изисквания забраняват издаването на сертификати за крайни субекти директно от root roots и по същество изискват те да се поддържат офлайн, като задължително се изисква използването на подчинени CA (също известни като издаване на СА) в Интернет PKI.
В допълнение към поддържането на сигурността на основния CA, подчинените CA изпълняват административни функции в рамките на организациите. Например, един подчинен CA може да се използва за подписване на SSL сертификати, а друг за подписване на код. В случай на публичен Интернет PKI, някои от тези административни разделения са задължени от CA / Browser forum. В други случаи, които искаме да разгледаме по-отблизо тук, коренният CA може да издаде подчинен CA и да го делегира на отделна организация, като предостави на този обект способността да подписва публично доверени сертификати.
Защо може да имате нужда от такъв
Краткият отговор е, че хостваният подчинен CA ви предлага възможно най-голям контрол върху издаването на публично доверени сертификати на крайни субекти, като част от потенциалните разходи за създаване на ваш собствен root и / или частен PKI инфраструктура.
Докато a PKI веригата на доверие може да съдържа повече от три сертификата и може да бъде подредена в сложни йерархии, общият принцип на коренни, междинни и крайни субекти сертификати остава последователен: субектите, контролиращи подчинените УС, подписани от надеждни коренни сертификати, могат да издават сертификати, които имплицитно се доверяват от операционните системи и уеб браузърите на крайните потребители. Без подчинен CA, който съществува като част от веригата на доверие към root CA, една организация може да издава само самоподписаният сертификати, които трябва да бъдат инсталирани ръчно от крайни потребители, които също трябва да вземат свои собствени решения дали да се доверят на сертификата или не, или да създадат частен PKI инфраструктура (виж по-долу). Избягването на тази пречка за използваемост и потенциалната лента за доверие, като същевременно запазвате възможността да издавате персонализирани сертификати по желание според бизнес целите на вашата организация, е една от основните причини, поради които може да искате вашия собствен подчинен CA като част от организацията PKI план.
Има редица други убедителни причини, поради които една организация може да желае да придобие собствен подчинен CA. Някои от тях са:
- Маркови сертификати. Предприятия като уеб хостинг компании може да пожелаят да предложат брандирани SSL с публичен облик /TLS сертификати на своите клиенти. С подчинен CA, подписан от публичен root CA, тези компании могат да издават публично доверени сертификати от свое име, по свое желание, без да се налага да създават свой собствен root root в браузър и операционна система root хранилища или да инвестират сериозно в PKI инфраструктура.
- Удостоверяване на клиента. Контролът на подчинен CA дава възможност за подписване на сертификати, които могат да се използват за удостоверяване на устройствата на крайните потребители и регулиране на достъпа до системи. Производител на цифрови термостати или декодери може да пожелае да издаде сертификат за всяко устройство, като гарантира, че само неговите устройства могат да комуникират със своите сървъри. Със собствения си подчинен CA, предприятието има пълен контрол върху издаването и актуализирането на сертификати според нуждите на устройствата, които произвеждат, продават и / или предоставят услуги. Специфичните бизнес нужди може да изискват или да се възползват от използването на публично доверено, а не частно PKI в тази роля. Например, IoT устройство може да включва вграден уеб сървър, за който производителят желае да издаде уникално идентифицируем, публично доверен SSL /TLS сертификат.
- Персонализиране. Със собствения си подчинен CA и като се има предвид, че сертификатите, насочени към обществото, са предмет на базовите изисквания на CA / Browser Forum, организацията е свободна да персонализира и конфигурира своите сертификати и техния жизнен цикъл, за да отговори на конкретните му нужди.
Частни срещу публични PKI
При формиране на a PKI план, предприятията трябва да правят избор между частни и публични PKI, За целите на тази статия, най-важно е да се отбележи, че ако дадена организация желае да издава сертификати за обществено ползване и очаква да им се доверява имплицитно, организацията трябва да имат подчинен CA, подписан от публично доверен root root, или успяват да получат свой собствен самоподписан сертификат, доверен от различните root програми. Без верига на доверие към root CA, крайните потребители са принудени сами да определят доверието си, а не просто да разчитат на своята операционна система и корен на браузъра. От друга страна, ако общественото доверие е не нужен, частен PKI инфраструктурата освобождава организацията от необходимостта да се придържа към стандартите, регулиращи обществеността PKI, В този случай е възможно да се цитира популярно решение, да се използва Услуги за сертифициране на Microsoft Active Directory за собствена PKI. Виждам Статията на SSL.com по тази тема за по-подробно обяснение на публични срещу частни PKI.
In-House срещу SaaS
При претегляне на предимствата на частното спрямо публичното PKIВажно е също така организацията да вземе предвид потенциалните разходи за персонал и хардуер и да осъзнае, че те ще бъдат отговорни за сигурността на собствения си частен и подчинен ключ. Ако се изисква обществено доверие, усилията, необходими за установяване и поддържане на съответствие с ОС и браузърни коренни програми, са значителни до степен да бъдат непреодолими за много организации. Предоставен PKI и за двете публични намлява частните сертификати за достъп вече са достъпни от множество сертификати на root (включително SSL.com) и може да помогне на корпоративните клиенти да избегнат голяма част от разходите и усилията на вътрешните работи PKI, Хостван подчинен CA обикновено позволява на организациите да издават и управляват жизнения цикъл на сертификатите за крайни субекти чрез уеб-базиран интерфейс и / или API, предлаган от хоста. Предоставен PKI, публично доверени или не, също така дават на организациите спокойствието да знаят, че това на техния домакин PKI съоръженията и процесите се подлагат на редовни, задълбочени и скъпи одити, както и че те ще бъдат активно поддържани и актуализирани с развитието на стандартите и най-добрите практики.
Заключение
Ако вашата организация се нуждае от възможността да издава публично надеждни сертификати, хостваният подчинен CA е икономически ефективно и удобно решение. Ако смятате, че подчинен CA може да бъде добър вариант за вас, моля, не се колебайте да се свържете с нас на support@ssl.com за повече информация.
И както винаги, благодаря за проявения интерес към SSL.com, където вярваме, че по-безопасен интернет е по-добър Интернет.
