Underordnede CA'er, og hvorfor du muligvis har brug for en

Hvad er en underordnet CA?

I Internet offentlig nøgleinfrastruktur (Internet PKI), er offentlig tillid i sidste ende bosiddende i de rod CA-certifikater, der er beskyttet af certificeringsmyndigheder såsom SSL.com. Disse certifikater er indbygget i slutbrugeres webbrowsere, operativsystemer og enheder og giver brugerne mulighed for både at stole på identiteten af ​​internetservere og etablere krypteret kommunikation med dem (for mere detaljerede oplysninger, se SSL.coms artikel om Browsere og certifikatvalidering).

Fordi de er den primære teknologi, der muliggør pålidelig og sikker kommunikation på Internettet og er vanskelige og dyre at etablere og vedligeholde, er de private nøgler til offentligt tillid til rodcertifikater ekstremt værdifulde og skal beskyttes for enhver pris. Derfor giver det mest mening for CA'er at udstede slutenhedscertifikater til kunder fra underordnede certifikater (undertiden også kaldet mellembeviser). Disse er underskrevet af rodcertifikatet, som opbevares sikkert offline, og bruges til at underskrive slutenhedscertifikater, såsom SSL /TLS certifikater til webservere. Dette skaber en kæde af tillid at føre tilbage til rod CA, og kompromiset med et underordnet certifikat, uanset hvor dårligt det måtte være, resulterer ikke i det katastrofale behov for at tilbagekalde ethvert certifikat nogensinde udstedt af rod CA. Kodning af denne fornuft-respons på situationen, CA / Browser Forum Grundlæggende krav forbyde at udstede certifikater til slutvirksomhed direkte fra root CA'er og kræver i det væsentlige, at de holdes offline, hvilket kræver anvendelse af underordnede CA'er (også kendt som udsteder CA'er) på Internettet PKI.

Ud over at holde rod-CA'en sikker udfører underordnede CA'er administrative funktioner inden for organisationer. For eksempel kan en underordnet CA bruges til at underskrive SSL-certifikater og en anden til kodesignering. I tilfælde af offentligt internet PKI, nogle af disse administrative adskillelser er påkrævet af CA / Browser-forummet. I andre tilfælde, som vi ønsker at undersøge nærmere her, kan en root-CA udstede en underordnet CA og delegere den til en separat organisation og give muligheden for at underskrive offentligt tillidte certifikater til den enhed.

Hvorfor du muligvis har brug for en

Det korte svar er, at en hostet underordnet CA giver dig størst mulig kontrol over udstedelsen af ​​offentligt tillid til slutenhedscertifikater til en brøkdel af de potentielle omkostninger ved oprettelse af din egen root CA og / eller private PKI infrastruktur.

Mens en PKI tillidskæde kan indeholde mere end tre certifikater og kan arrangeres i komplekse hierarkier, det overordnede princip om rod-, mellem- og slut-enhedscertifikater forbliver konsistente: enheder, der kontrollerer underordnede CA'er underskrevet af pålidelige root-CA'er, kan udstede certifikater, der implicit er tillid af slutbrugeres operativsystemer og webbrowsere. Uden en underordnet CA, der findes som en del af en kæde af tillid til en rod CA, kan en organisation kun udstede selvsigneret certifikater, der skal installeres manuelt af slutbrugere, som også skal tage deres egne beslutninger om, hvorvidt man skal stole på certifikatet eller ej, eller bygge et privat PKI infrastruktur (se nedenfor). At undgå denne brugbarhedshindring og den potentielle bar til at stole på, samtidig med at du kan bevare muligheden for at udstede tilpassede certifikater efter ønske i henhold til din organisations forretningsmæssige mål, er en af ​​de primære årsager til, at du måske ønsker din egen underordnede CA som en del af din organisations PKI plan.

Der er en række andre overbevisende grunde til, at en organisation måske ønsker at erhverve sin egen underordnede CA. Et par af disse er:

  • Branded Certificate. Virksomheder som webhostingfirmaer ønsker muligvis at tilbyde branded public-facing SSL /TLS certifikater til deres kunder. Med en underordnet CA underskrevet af en offentlig root-CA kan disse virksomheder udstede offentligt tillidte certifikater i deres eget navn efter eget valg uden at skulle etablere deres egen root-CA i browser- og operativsystemets rodbutikker eller investere meget i PKI infrastruktur.
  • Klientgodkendelse. Styring af en underordnet CA giver muligheden for at underskrive certifikater, der kan bruges til at godkende slutbrugernes enheder og regulere adgangen til systemer. En producent af digitale termostater eller set-top-bokse ønsker muligvis at udstede et certifikat for hver enhed, der sikrer, at kun dens enheder kan kommunikere med sine servere. Med sin egen underordnede CA har virksomheden fuld kontrol over udstedelse og opdatering af certifikater efter behov på de enheder, de fremstiller, sælger og / eller leverer tjenester til. Specifikke forretningsbehov kan kræve eller drage fordel af at bruge offentligt betroede snarere end private PKI i denne rolle. For eksempel kan en IoT-enhed omfatte en indbygget webserver, som producenten ønsker at udstede en entydigt identificerbar, offentligt betroet SSL /TLS certifikat.
  • Tilpasning. Med sin egen underordnede CA og under hensyntagen til, at offentligt vendende certifikater er underlagt CA / Browser Forum Baseline Krav, er en organisation fri til at tilpasse og konfigurere sine certifikater og deres livscyklus til at imødekomme dens særlige behov.

Privat vs. offentligt PKI

Ved dannelse af en PKI planlægger, skal virksomheder træffe valg mellem private og offentlige PKI. Med henblik på denne artikel er det mest vigtigt at bemærke, at hvis en organisation ønsker at udstede certifikater, der vender offentligt, og forventer, at de implicit er tillid, vil organisationen skal have en underordnet CA underskrevet af en offentligt betroet root-CA eller formår at få deres eget selvsignerede certifikat, der er tillid til af de forskellige rodprogrammer. Uden en tillidskæde til en root-CA er slutbrugere tvunget til at træffe deres egen beslutning om tillid snarere end blot at stole på deres operativsystem og browser-root-butikker. På den anden side, hvis offentlighedens tillid er det ikke behov, en privat PKI infrastruktur frigør en organisation fra at skulle overholde standarder, der regulerer offentligheden PKI. I dette tilfælde er det muligt at citere en populær løsning at bruge Microsoft Active Directory Certificate Services til internt PKI. Se SSL.coms artikel om dette emne for en mere detaljeret forklaring af offentlig kontra privat PKI.

I huset mod SaaS

Når man vejer fordelene ved private kontra offentlige PKI, er det også vigtigt for en organisation at overveje de potentielle omkostninger ved personale og hardware og indse, at de vil være ansvarlige for sikkerheden ved deres egen private root og underordnede nøgler. Hvis der er brug for offentlig tillid, er den nødvendige indsats for at etablere og opretholde overholdelse af OS- og browser rodprogrammer betydelig til det punkt, at det er uovervindeligt for mange organisationer. hostet PKI for begge offentlige og private CA'er er nu tilgængelige fra flere rodcertifikatmyndigheder (inklusive SSL.com) og kan hjælpe erhvervskunder med at undgå meget af omkostningerne og indsatsen i egen regi PKI. En hostet underordnet CA tillader typisk organisationer at udstede og administrere livscyklussen for slut-enhedscertifikater via en webbaseret interface og / eller API, der tilbydes af værten. hostet PKIoffentligt betroet eller ej, giver også organisationer ro i sindet ved at vide, at deres vært er PKI faciliteter og processer gennemgår regelmæssige, grundige og dyre revisioner, og at de aktivt vedligeholdes og opdateres efterhånden som standarder og bedste praksis udvikles.

Konklusion

Hvis din organisation har brug for evnen til at udstede offentligt tillidte certifikater, er en hostet underordnet CA en omkostningseffektiv og praktisk løsning. Hvis du føler, at en underordnet CA kan være en god mulighed for dig, så tøv ikke med at kontakte os på support@ssl.com for mere information.

Og som altid tak for din interesse i SSL.com, hvor vi mener, at et mere sikkert internet er et bedre internet.

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.