Was ist eine untergeordnete Zertifizierungsstelle?
In der Internet-Public-Key-Infrastruktur (Internet PKI) liegt das Vertrauen der Öffentlichkeit letztendlich in den Stammzertifizierungsstellenzertifikaten, die von Zertifizierungsstellen wie z SSL.com. Diese Zertifikate sind in die Webbrowser, Betriebssysteme und Geräte der Endbenutzer integriert und ermöglichen es Benutzern, sowohl der Identität von Internet-Servern zu vertrauen als auch eine verschlüsselte Kommunikation mit ihnen herzustellen (weitere Informationen finden Sie im Artikel von SSL.com zu Browser und Zertifikatsüberprüfung).
Da sie die primäre Technologie sind, die eine vertrauenswürdige und sichere Kommunikation im Internet ermöglicht und schwierig und teuer einzurichten und zu warten ist, sind die privaten Schlüssel öffentlich vertrauenswürdiger Stammzertifikate äußerst wertvoll und müssen unter allen Umständen geschützt werden. Daher ist es für Zertifizierungsstellen am sinnvollsten, End-Entity-Zertifikate an Kunden von auszustellen untergeordnete Zertifikate (manchmal auch als bezeichnet Zwischenzertifikate). Diese werden vom Stammzertifikat signiert, das sicher offline gehalten wird, und zum Signieren von Endentitätszertifikaten wie SSL / verwendet.TLS Zertifikate für Webserver. Dies schafft eine Kette des Vertrauens Das Zurückführen zur Stammzertifizierungsstelle und der Kompromiss eines untergeordneten Zertifikats, so schlimm das auch sein mag, führen nicht zu der katastrophalen Notwendigkeit, jedes jemals von der Stammzertifizierungsstelle ausgestellte Zertifikat zu widerrufen. Kodierung dieser vernünftigen Reaktion auf die Situation, das CA / Browser Forum Basisanforderungen Verbieten Sie die Ausstellung von End-Entity-Zertifikaten direkt von Stammzertifizierungsstellen und verlangen Sie im Wesentlichen, dass diese offline gehalten werden, was die Verwendung untergeordneter Zertifizierungsstellen (auch bekannt als) bezeichnet CAs ausstellen) im Internet PKI.
Untergeordnete Zertifizierungsstellen schützen nicht nur die Stammzertifizierungsstelle, sondern führen auch Verwaltungsfunktionen innerhalb von Organisationen aus. Beispielsweise kann eine untergeordnete Zertifizierungsstelle zum Signieren von SSL-Zertifikaten und eine andere zum Signieren von Code verwendet werden. Im Falle des öffentlichen Internets PKIEinige dieser administrativen Trennungen werden vom CA / Browser-Forum vorgeschrieben. In anderen Fällen, die wir hier genauer untersuchen möchten, kann eine Stammzertifizierungsstelle eine untergeordnete Zertifizierungsstelle ausstellen und an eine separate Organisation delegieren, um dieser Entität die Möglichkeit zu geben, öffentlich vertrauenswürdige Zertifikate zu signieren.
Warum brauchen Sie vielleicht einen?
Die kurze Antwort lautet, dass eine gehostete untergeordnete Zertifizierungsstelle Ihnen die größtmögliche Kontrolle über die Ausstellung öffentlich vertrauenswürdiger Endentitätszertifikate zu einem Bruchteil der potenziellen Kosten für die Einrichtung Ihrer eigenen Stammzertifizierungsstelle und / oder Ihrer privaten Zertifizierungsstelle bietet PKI Infrastruktur.
Während PKI Die Vertrauenskette kann mehr als drei Zertifikate enthalten und in komplexen Hierarchien angeordnet sein. Das Gesamtprinzip der Stamm-, Zwischen- und Endentitätszertifikate bleibt konsistent: Entitäten, die von vertrauenswürdigen Stammzertifizierungsstellen signierte untergeordnete Zertifizierungsstellen steuern, können Zertifikate ausstellen, denen implizit vertraut wird nach Betriebssystemen und Webbrowsern der Endbenutzer. Ohne eine untergeordnete Zertifizierungsstelle, die als Teil einer Vertrauenskette zu einer Stammzertifizierungsstelle vorhanden ist, kann eine Organisation nur Probleme ausstellen selbstsigniert Zertifikate, die manuell von Endbenutzern installiert werden müssen, die auch selbst entscheiden müssen, ob sie dem Zertifikat vertrauen oder nicht oder ein privates Zertifikat erstellen PKI Infrastruktur (siehe unten). Das Vermeiden dieses Usability-Hindernisses und der potenziellen Vertrauensbarriere bei gleichzeitiger Beibehaltung der Möglichkeit, benutzerdefinierte Zertifikate nach Belieben gemäß den Geschäftszielen Ihres Unternehmens auszustellen, ist einer der Hauptgründe, warum Sie möglicherweise Ihre eigene untergeordnete Zertifizierungsstelle als Teil Ihres Unternehmens wünschen PKI Plan.
Es gibt eine Reihe anderer zwingender Gründe, aus denen eine Organisation möglicherweise ihre eigene untergeordnete Zertifizierungsstelle erwerben möchte. Einige davon sind:
- Markenzertifikate. Unternehmen wie Webhosting-Unternehmen möchten möglicherweise öffentlich zugängliches Marken-SSL / anbieten.TLS Zertifikate an ihre Kunden. Mit einer untergeordneten Zertifizierungsstelle, die von einer öffentlichen Stammzertifizierungsstelle signiert wurde, können diese Unternehmen nach Belieben öffentlich vertrauenswürdige Zertifikate in ihrem eigenen Namen ausstellen, ohne eine eigene Stammzertifizierungsstelle in Stammspeichern von Browsern und Betriebssystemen einrichten oder stark investieren zu müssen PKI Infrastruktur.
- Client-Authentifizierung. Durch die Steuerung einer untergeordneten Zertifizierungsstelle können Zertifikate signiert werden, mit denen die Geräte der Endbenutzer authentifiziert und der Zugriff auf Systeme geregelt werden kann. Ein Hersteller von digitalen Thermostaten oder Set-Top-Boxen möchte möglicherweise für jedes Gerät ein Zertifikat ausstellen, um sicherzustellen, dass nur seine Geräte mit seinen Servern kommunizieren können. Mit seiner eigenen untergeordneten Zertifizierungsstelle hat das Unternehmen die vollständige Kontrolle über die Ausstellung und Aktualisierung von Zertifikaten nach Bedarf auf den Geräten, für die sie Dienstleistungen herstellen, verkaufen und / oder bereitstellen. Spezifische Geschäftsanforderungen erfordern möglicherweise die Verwendung von öffentlich vertrauenswürdigen und nicht von privaten PKI in dieser Rolle. Beispielsweise kann ein IoT-Gerät einen integrierten Webserver enthalten, für den der Hersteller ein eindeutig identifizierbares, öffentlich vertrauenswürdiges SSL / ausgeben möchte.TLS Zertifikat.
- Anpassung. Mit einer eigenen untergeordneten Zertifizierungsstelle und unter Berücksichtigung der Tatsache, dass öffentlich zugängliche Zertifikate den Grundanforderungen des CA / Browser-Forums unterliegen, kann eine Organisation ihre Zertifikate und ihren Lebenszyklus an ihre besonderen Anforderungen anpassen und konfigurieren.
Privat gegen Öffentlich PKI
Bei der Bildung eines PKI Plan müssen Unternehmen zwischen privat und öffentlich wählen PKI. Für die Zwecke dieses Artikels ist es am wichtigsten zu beachten, dass die Organisation, wenn eine Organisation öffentlich zugängliche Zertifikate ausstellen möchte und erwartet, dass ihnen implizit vertraut wird sollen Lassen Sie eine untergeordnete Zertifizierungsstelle von einer öffentlich vertrauenswürdigen Stammzertifizierungsstelle signieren oder schaffen Sie es, ein eigenes selbstsigniertes Zertifikat zu erhalten, dem die verschiedenen Stammprogramme vertrauen. Ohne eine Vertrauenskette zu einer Stammzertifizierungsstelle sind Endbenutzer gezwungen, ihre eigene Vertrauensbestimmung zu treffen, anstatt sich einfach auf ihr Betriebssystem und ihre Browser-Stammspeicher zu verlassen. Auf der anderen Seite, wenn öffentliches Vertrauen ist nicht benötigt, ein privates PKI Die Infrastruktur befreit eine Organisation von der Notwendigkeit, die Standards zur Regulierung der Öffentlichkeit einzuhalten PKI. In diesem Fall ist es möglich, eine beliebte Lösung zu zitieren, zu verwenden Microsoft Active Directory-Zertifikatdienste für Inhouse PKI. Sehen Artikel von SSL.com zu diesem Thema für eine detailliertere Erklärung von öffentlich oder privat PKI.
Inhouse vs. SaaS
Bei der Abwägung der Vorteile von privat gegenüber öffentlich PKIFür ein Unternehmen ist es auch wichtig, die potenziellen Kosten für Personal und Hardware zu berücksichtigen und zu erkennen, dass sie für die Sicherheit ihres eigenen privaten Stamms und ihrer untergeordneten Schlüssel verantwortlich sind. Wenn öffentliches Vertrauen erforderlich ist, sind die Anstrengungen, die erforderlich sind, um die Einhaltung von Betriebssystem- und Browser-Stammprogrammen herzustellen und aufrechtzuerhalten, so groß, dass sie für viele Unternehmen unüberwindbar sind. Bereitgestellt PKI für beide öffentlich und Private Zertifizierungsstellen sind jetzt bei mehreren Stammzertifizierungsstellen erhältlich (einschließlich SSL.com) und kann Unternehmenskunden dabei helfen, einen Großteil der internen Kosten und Aufwendungen zu vermeiden PKI. Eine gehostete untergeordnete Zertifizierungsstelle ermöglicht es Unternehmen normalerweise, den Lebenszyklus von Endentitätszertifikaten über eine vom Host angebotene webbasierte Schnittstelle und / oder API auszustellen und zu verwalten. Bereitgestellt PKIOb öffentlich vertrauenswürdig oder nicht, gibt Organisationen auch die Gewissheit, dass sie Gastgeber sind PKI Einrichtungen und Prozesse werden regelmäßig, gründlich und teuer geprüft und aktiv gewartet und aktualisiert, wenn sich Standards und Best Practices weiterentwickeln.
Zusammenfassung
Wenn Ihre Organisation öffentlich vertrauenswürdige Zertifikate ausstellen kann, ist eine gehostete untergeordnete Zertifizierungsstelle eine kostengünstige und bequeme Lösung. Wenn Sie der Meinung sind, dass eine untergeordnete Zertifizierungsstelle eine gute Option für Sie sein könnte, zögern Sie bitte nicht, uns unter zu kontaktieren support@ssl.com um mehr zu erfahren.
Und wie immer vielen Dank für Ihr Interesse an SSL.com, wo wir glauben, dass ein sichereres Internet ein besseres Internet ist.
