Abstract:
De fleste organisationer sikrer deres offentligt tilgængelige websteder med digitale certifikater, men overser vigtig intern infrastruktur, såsom VPN'er, enhedsnetværk og DevOps-pipelines. Privat PKI lukker dette hul ved at lade dig udstede og administrere certifikater på dine egne vilkår med brugerdefinerede profiler, fleksible levetider og ingen CT-logning, som afslører detaljer om dine interne netværk. SSL.com tilbyder nu tre hostede private PKI muligheder, der passer til enhver organisations behov.
Din virksomheds hjemmeside har et digitalt certifikat. Din e-mail er krypteret. Din betalingsside viser den beroligende lille hængelås.
Men hvad med alt det andet?
De interne netværk, dine teams er afhængige af dagligt, den VPN, dine eksterne medarbejdere opretter forbindelse via, de hundredvis af enheder, din IT-afdeling administrerer, DevOps-pipelinerne, der sender kode til produktion? Hvis du er ligesom de fleste virksomheder, sikrer du måske din offentlige hoveddør, mens du lader gangene og baglokalerne stå vidt åbne. Det er det hul, som den private offentlige nøgleinfrastruktur blev bygget til at lukke.
Kontakt os nu for privat PKI Solutions
Hvad er forskellen mellem offentlig og privat offentlig nøgleinfrastruktur (PKI)?
Infrastruktur til offentlig nøgle (PKI) er det system, der udsteder og administrerer digitale certifikater – de legitimationsoplysninger, der muliggør kryptering, godkendelse og sikker kommunikation på tværs af din organisation.
Men der er to fundamentalt forskellige modeller:
offentlige PKI
offentlige PKI sikrer websteder med internetadgang. Certifikater udstedes af offentligt betroede certifikatmyndigheder (CA'er), hvis rod-CA-certifikater er integreret i browsere som Chrome, Safari og Firefox.
Dette er essentielt for:
- Offentlige hjemmesider
- E-handel
- Kundevendte portaler
Dog offentligt PKI kommer med regler (såsom CA/Browser Forum-krav), der begrænser certifikaters levetid og algoritmer, og disse certifikaters levetider bliver mindre. Certifikatindholdet er strengt reguleret. Og hvert digitalt certifikat, du udsteder via en offentlig CA, bliver logget i offentlige transparensregistre. Selvom det er det, der gør det offentlige internet troværdigt, udgør det også en vis grad af operationel risiko.
Privat offentlig nøgleinfrastruktur (Privat PKI)
En privat PKI (undertiden omtalt som en privat eller intern CA) fungerer under din organisations tillidsmodel i stedet for det offentlige internets. I stedet for at stole på browserens rodlagre, kontrollerer du (eller delegerer kontrollen over) dit eget private CA-hierarki.
For dig betyder det:
- Større fleksibilitet
- Brugerdefinerede certifikatprofiler
- Kontrol over certifikaternes levetid
- Politikker skræddersyet til din infrastruktur
En privat CA giver din organisation mulighed for at udstede digitale certifikater til intern brug uden begrænsninger fra offentlige tillidspolitikker. Du styrer certifikatprofilerne, levetiderne, sikkerhedskontrollerne og hvem der får adgang. Intet logges offentligt, da disse certifikater ikke er beregnet til omverdenen; de er kun til brug i din organisation.
Privat PKI Brugssager og fordele
Her er de mest almindelige scenarier, hvor organisationer henvender sig til private PKI:
Sikring af fjernadgang – VPN-forbindelser og Wi-Fi-godkendelse er langt mere sikre, når de bakkes op af certifikatbaseret identitet i stedet for udelukkende adgangskoder. En privat CA giver dig mulighed for at udstede certifikater til autoriserede brugere og enheder, så kun de rette personer kan få adgang til dem.
Administration af enheder i stor skala – Uanset om det er bærbare computere, mobiltelefoner eller IoT-slutpunkter, fungerer MDM-systemer (Mobile Device Management) bedst, når hver enhed har et betroet certifikat. Udstedelse af certifikater via en privat PKI gør tilmelding problemfri og tilbagekaldelse øjeblikkelig.
Beskyttelse af interne tjenester – Gensidig TLS mellem mikrotjenester, krypteret trafik på tværs af datacentre, sikre staging-miljøer – dette er alt sammen interne bekymringer, der ikke kræver offentlig tillid, men som absolut har brug for stærk kryptering og godkendelse.
Accelerering af DevOps – Udviklings- og CI/CD-pipelines kræver også certifikater, ofte med hurtig ekspeditionstid og ikke-standardiserede konfigurationer. PKI giver DevOps-teams fleksibiliteten til at automatisere certifikatudstedelse uden at støde ind i begrænsninger i offentlighedens tillid.
Offentlige CA'er er optimeret til internetvendte tjenester. De er ikke designet til:
- Interne værtsnavne
- Test-/staging-miljøer
- Øst-vest trafik sikret med gensidig TLS
- Enhedsgodkendelse i stor skala
- Brugerdefinerede certifikatpolitikker
- Langlivede infrastrukturrødder
Hvordan SSL gør privat PKI Accessible
SSL tilbyder nu tre private PKI muligheder for serverorganisationer i alle størrelser. Vores team kan tilbyde din organisation et fuldt hosted privat PKI løsning, komplet med selvbetjenings- og øjeblikkelig CA-oprettelse, API-baseret tilmelding, valgfri ACME-, OCSP- og CRL-support:
Privat compliance PKI – Meget brugerdefinerbar, skræddersyet løsning til store organisationer med høje compliance-krav
Privat virksomhed PKI – Generelle IT-behov, der ikke kræver høj compliance (f.eks. administration af mobile enheder, VPN, interne netværk, DevOps).
Managed PKI Certifikater - En hybrid af offentlig og privat tillid, der inkluderer brugerdefinerede muligheder og certifikatudstedelse fra WebTrust-reviderede certifikatmyndigheder.
Offentlig tillid vs. SSL's private PKI Teknisk sammenligning af muligheder
|
Offentlig tillid |
Managed PKI Certifikater |
Privat compliance PKI |
Privat virksomhed PKI |
|
|
CA-livscyklus |
Planlagt med vigtige ceremonier og indsamling af bevismateriale |
Planlagt med vigtige ceremonier og indsamling af bevismateriale? |
Planlagt med vigtige ceremonier og indsamling af bevismateriale? |
Dynamisk med selvbetjening til oprettelse og fjernelse |
|
Algoritmer og nøgletyper/-størrelser |
Begrænset af krav til offentlig tillid |
Defineret af Privat PKI CPS |
Begrænset af understøttende infrastruktur |
Ikke begrænset |
|
Certifikatets levetid |
Begrænset af krav til offentlig tillid |
Defineret af Privat PKI CPS. Lempelse fra CA/B-grænser |
Begrænset af CPS defineret i fællesskab. |
Ikke begrænset |
|
Certifikatindhold og profiler |
Begrænset af krav til offentlig tillid |
Defineret af Privat PKI CPS |
Begrænset af CPS defineret i fællesskab. |
Ikke begrænset |
|
Verifikationskrav |
I henhold til kravene til offentlig tillid |
Defineret af Privat PKI CPS |
Valgfrit, i henhold til CPS defineret i fællesskab. |
Ikke påkrævet |
|
Revisionssikring |
WebTrust eller ETSI |
WebTillid? |
WebTrust |
Ikke tilgængelig |
|
Standarder for netværkssikkerhed |
Pr. CA/B NetSec |
Pr. CA/B NetSec |
Pr. CA/B NetSec |
Høj sikkerhed + industriens bedste praksis |
|
Sikkerhedshardware |
FIPS 140-3 eller CC EAL4+ |
FIPS 140-3 |
FIPS 140-3 |
FIPS 140-3 |
Offentlig vs. privat tillid
The Bottom Line
En privat offentlig nøgleinfrastruktur tilbyder dig:
- Kontrol uden kompleksitet
- Sikkerhed uden rigiditet
- Overholdelse af regler uden operationel friktion
Næsten alle organisationer når til sidst et punkt, hvor offentlige tillidscertifikater alene ikke er nok. Når din interne infrastruktur, dine enheder og dine teams har brug for det samme niveau af kryptografisk beskyttelse, som du tilbyder dine besøgende på webstedet, kan private PKI er svaret.
Klar til at se, hvad Enterprise Private PKI ser ud for din organisation? Tal med vores PKI eksperter i dag.
