Mikä on alainen CA?
Internetin julkisen avaimen infrastruktuurissa (Internet PKI), yleinen luottamus löytyy viime kädessä CA-juurivarmenteista, jotka varmentavat varmentajaviranomaiset, kuten SSL.com. Nämä sertifikaatit on rakennettu loppukäyttäjien verkkoselaimiin, käyttöjärjestelmiin ja laitteisiin, ja niiden avulla käyttäjät voivat luottaa Internet-palvelimien identiteetteihin ja muodostaa salattua viestintää heidän kanssaan (tarkempia tietoja löytyy SSL.com-artikkelista aiheesta Selaimet ja varmenteiden validointi).
Koska ne ovat ensisijainen tekniikka, joka mahdollistaa luotettavan ja suojatun viestinnän Internetissä ja joita on vaikea ja kallista luoda ja ylläpitää, julkisesti luotettavien juurivarmenteiden yksityiset avaimet ovat erittäin arvokkaita ja niitä on suojattava hinnalla millä hyvänsä. Siksi on järkevintä, että varmentajat myöntävät loppukäyttäjävarmennuksia asiakkaille alaiset varmenteet (kutsutaan joskus myös nimellä välitodistukset). Nämä on allekirjoitettu juurivarmenteella, joka pidetään turvallisesti offline-tilassa, ja niitä käytetään allekirjoittamaan loppukäyttäjän varmenteita, kuten SSL /TLS Web-palvelimien varmenteet. Tämä luo luottamusketju johtaminen takaisin juurivarmentajaan, ja alaistertifikaatin vaarantuminen, olipa se sitten huono, ei kuitenkaan johda katastrofaaliseen tarpeeseen peruuttaa kaikki juurivarmentajan koskaan myöntämät varmenteet. Kodifioi tämä järkevä reagointi tilanteeseen, CA / selainfoorumi Perusvaatimukset kieltää loppukäyttäjäsertifikaattien myöntäminen suoraan juurivarmentajalta ja edellyttää lähinnä, että ne pidetään offline-tilassa, valtuuttamalla alaisten varmentajien (tunnetaan myös nimellä myöntävät CA: t) internetissä PKI.
Sen lisäksi, että juurivarmentajat ovat turvassa, alaiset varmentajat suorittavat hallinnollisia toimintoja organisaatioissa. Esimerkiksi yhtä alaista varmentajaa voidaan käyttää SSL-varmenteiden allekirjoittamiseen ja toista koodin allekirjoittamiseen. Julkisen Internetin tapauksessa PKIJotkin näistä hallinnollisista erotteluista ovat CA / Browser -foorumin valtuuttamia. Muissa tapauksissa, joita haluamme tutkia tarkemmin täällä, päävarmentaja voi antaa alamaisen varmentajan ja delegoida sen erilliselle organisaatiolle antamalla mahdollisuuden allekirjoittaa julkisesti luotettavia varmenteita tälle yhteisölle.
Miksi tarvitset sellaista
Lyhyt vastaus on, että isännöity alempi varmentaja tarjoaa sinulle parhaan mahdollisen hallinnan julkisesti luotettavien lopullisten yksiköiden varmenteiden myöntämiseen murto-osalla oman juurivarmentajan ja / tai yksityisen varmenteen perustamisen mahdollisista kustannuksista. PKI infrastruktuuri.
Kun taas PKI luottamusketju voi sisältää enemmän kuin kolme varmennetta ja se voidaan järjestää monimutkaisissa hierarkioissa. Juuri-, välitavoite- ja loppukäyttäjävarmenteiden yleinen periaate pysyy yhtenäisenä: luotettavien juurivarmentaja-viranomaisten allekirjoittamia alaisia varmenteita hallitsevat yksiköt voivat antaa varmenteita, jotka ovat epäsuorasti luotettavia. loppukäyttäjien käyttöjärjestelmien ja selainten avulla. Ilman toissijaista CA: ta, joka on osa juurivarmentajan luottamusketjua, organisaatio voi antaa vain Itse allekirjoitetun varmenteet, jotka loppukäyttäjien on asennettava manuaalisesti, ja heidän on myös tehtävä omat päätöksensä luottaa varmenteeseen vai ei vai rakentaako yksityinen PKI infrastruktuuri (katso alla). Tämän käytettävyyden estämisen ja luottamusmahdollisuuksien välttäminen, samalla kun ylläpidetään kykyä myöntää räätälöityjä varmenteita organisaation liiketoimintatavoitteiden mukaisesti, on yksi ensisijaisista syistä, miksi saatat haluta oman alaisen varmentajan osana organisaatiosi PKI suunnitelma.
On olemassa monia muita pakottavia syitä, joiden vuoksi organisaatio saattaa haluta hankkia oman alaisensa CA: n. Muutamia näistä ovat:
- Merkkituotteet. Yritykset, kuten web-hosting-yritykset, saattavat haluta tarjota merkkituotteita julkisille SSL /TLS todistukset asiakkailleen. Kun julkinen juurivarmentaja on allekirjoittanut alamaisen varmentajan, nämä yritykset voivat antaa julkisesti luotettavia varmenteita omaan nimensä mukaan, ilman, että heidän tarvitsee perustaa omaa juurivarmentajaa selain- ja käyttöjärjestelmän juurikauppoihin tai investoida paljon PKI infrastruktuuri.
- Asiakkaan todennus. Alamaisen varmentajan hallinta antaa mahdollisuuden allekirjoittaa varmenteita, joita voidaan käyttää loppukäyttäjien laitteiden todentamiseen ja järjestelmien käytön säätelyyn. Digitaalisten termostaattien tai digisovittimien valmistaja saattaa haluta antaa varmenteen jokaiselle laitteelle varmistaen, että vain sen laitteet voivat olla yhteydessä palvelimiinsa. Oman alaisten varmentajiensa ansiosta yrityksellä on täydellinen hallinta sertifikaattien myöntämisessä ja päivittämisessä laitteissa, joita he valmistavat, myyvät ja / tai tarjoavat palveluita. Yrityksen erityistarpeet saattavat edellyttää tai hyötyä julkisen luotettavan kuin yksityisen käyttämisestä PKI tässä roolissa. Esimerkiksi IoT-laite voi sisältää sisäänrakennetun verkkopalvelimen, jolle valmistaja haluaa antaa yksilöitävän, julkisesti luotettavan SSL /TLS todistus.
- Räätälöintiä. Omalla alaisella CA: lla ja ottaen huomioon, että julkisen sektorin varmenteisiin sovelletaan CA / Selainfoorumin perusvaatimuksia, organisaatio voi vapaasti mukauttaa ja konfiguroida varmenteitaan ja niiden elinkaaria vastaamaan erityistarpeitaan.
Yksityinen vs. julkinen PKI
Kun muodostat PKI Suunnitelman mukaan yritysten on valittava yksityisen ja julkisen välillä PKI. Tätä artikkelia sovellettaessa on tärkeintä huomata, että jos organisaatio haluaa antaa yleisölle suunnattuja varmenteita ja odottaa niiden luotettavasti luottavan, organisaatio täytyy sinulla on alempi varmentaja, jonka on allekirjoittanut julkisesti luotettu juurivarmentaja, tai hallita omien itse allekirjoittamiensa varmenteiden hankkiminen, joihin eri pääohjelmat luottavat. Ilman juurivarmentajan luottamusketjua loppukäyttäjien on pakko määrittää itse luottamus sen sijaan, että luottaisivat vain käyttöjärjestelmäänsä ja selaimen juurikauppaan. Toisaalta, jos julkinen luottamus on emme tarvitaan, yksityinen PKI infrastruktuuri vapauttaa organisaation tarpeesta noudattaa yleisöä sääteleviä standardeja PKI. Tässä tapauksessa on mahdollista mainita suosittu ratkaisu Microsoft Active Directory -varmennepalvelut omaan taloon PKI. Nähdä SSL.com -artikkeli tästä aiheesta tarkempi selitys julkisesta vs. yksityisestä PKI.
Talon sisäinen vs. SaaS
Kun punnitaan yksityisen ja julkisen edut PKI, on myös tärkeää, että organisaatio harkitsee henkilöstön ja laitteistojen mahdollisia kustannuksia ja ymmärtää, että ne ovat vastuussa omien yksityisten juurten ja alaisten avainten turvallisuudesta. Jos tarvitaan julkista luottamusta, käyttöjärjestelmän ja selaimen juuriohjelmien noudattamisen varmistamiseksi ja ylläpitämiseksi tarvittavat ponnistelut ovat huomattavia, jotta monille organisaatioille voittamaton. Hosted PKI molemmille julkisille ja yksityiset CA: t ovat nyt saatavana useilta juurivarmenteen myöntäjiltä (mukaan lukien SSL.com) ja voi auttaa yritysasiakkaita välttämään suurta osaa yrityksen kustannuksista ja vaivaa PKI. Isännöity alainen CA antaa organisaatioille tyypillisesti mahdollisuuden antaa ja hallita loppukäyttäjävarmenteiden elinkaarta isännän tarjoamien verkkopohjaisten rajapintojen ja / tai sovellusliittymien kautta. Hosted PKI, julkisesti luotettu tai ei, antaa myös organisaatioille mielenrauhan tietäen, että heidän isäntänsä PKI Laitoksille ja prosesseille tehdään säännölliset, perusteelliset ja kalliit tarkastukset, joita ylläpidetään ja päivitetään aktiivisesti standardien ja parhaiden käytäntöjen kehittyessä.
Yhteenveto
Jos organisaatiosi tarvitsee kykyä antaa julkisesti luotettavia varmenteita, isännöity alistettu varmentaja on kustannustehokas ja kätevä ratkaisu. Jos sinusta tuntuu, että alempi CA voi olla hyvä vaihtoehto sinulle, älä epäröi ottaa yhteyttä meihin osoitteessa support@ssl.com lisätietoja.
Ja kuten aina, kiitos kiinnostuksestasi SSL.com, jossa uskomme, että turvallisempi Internet on parempi Internet.
