Mi az alárendelt CA?
Az Internet nyilvános kulcsú infrastruktúrájában (Internet PKI), a közbizalom végül a gyökér CA tanúsítványokban rejlik, amelyeket olyan tanúsító hatóságok biztosítanak, mint például SSL.com. Ezek a tanúsítványok beépülnek a végfelhasználók webböngészőibe, operációs rendszereibe és eszközeibe, és lehetővé teszik a felhasználók számára, hogy megbízzanak az internetes szerverek identitásában, és titkosított kommunikációt létesítsenek velük (részletesebb információkért lásd az SSL.com cikkét Böngészők és tanúsítványok érvényesítése).
Mivel ezek az elsődleges technológiák, amelyek lehetővé teszik a megbízható és biztonságos kommunikációt az interneten, és amelyeket nehéz és drága létrehozni és fenntartani, a nyilvánosan megbízható gyökértanúsítványok magánkulcsai rendkívül értékesek, és azokat minden áron védeni kell. Ezért a legeredményesebb, ha a hitelesítésszolgáltatók végfelhasználói tanúsítványokat adnak ki az ügyfeleknek a következőtől: alárendelt tanúsítványok (néha más néven közbenső tanúsítványok). Ezeket a gyökértanúsítvány írja alá, amelyet biztonságosan offline állapotban tartanak, és végső entitás tanúsítványok, például SSL /TLS webkiszolgálók tanúsítványai. Ez létrehoz egy bizalmi lánc visszatérés a gyökér CA-hoz, és az alárendelt tanúsítvány kompromittálása - bármennyire is rossz - nem eredményezi azt a katasztrofális szükségletet, hogy vissza kell vonni minden olyan igazolást, amelyet a root CA kiadott. A józan ész reagálásának kodifikálása a helyzetre, a CA / Böngésző Fórum Alapvető követelmények tiltja a végfelhasználói tanúsítványok kiadását közvetlenül a gyökér CA-tól, és alapvetően megköveteli, hogy azokat offline állapotban tartsák, engedélyezve az alárendelt CA-k (más néven kiállító CA) az interneten PKI.
Az alárendelt hitelesítésszolgáltatók a gyökér CA biztonságának megőrzése mellett adminisztratív feladatokat látnak el a szervezeteken belül. Például az egyik alárendelt hitelesítésszolgáltató felhasználható SSL tanúsítványok aláírásához, egy másik pedig a kód aláírásához. Nyilvános Internet esetén PKI, ezeknek az adminisztratív elválasztásoknak egy részét a CA / Browser fórum engedélyezi. Más esetekben, amelyeket itt szeretnénk alaposabban megvizsgálni, a gyökér hitelesítésszolgáltató kiadhat egy beosztott hitelesítésszolgáltatót és átruházhatja egy külön szervezetre, felhatalmazva a nyilvánosan megbízható tanúsítványok aláírását az adott entitásra.
Miért lenne szüksége egy ilyenre?
A rövid válasz az, hogy a hosztolt beosztott hitelesítésszolgáltató a lehető legnagyobb ellenőrzést nyújtja a nyilvánosan megbízható végső entitás tanúsítványok kibocsátása felett, a saját gyökértulajdonos hitelesítésszolgáltató és / vagy magánszolgáltató létrehozásának lehetséges költségeinek töredékével. PKI infrastruktúra.
Míg a PKI A bizalmi lánc háromnál több tanúsítványt tartalmazhat, és összetett hierarchiákban is elrendezhető, a root, a köztes és a vég entitás tanúsítványok általános elve továbbra is konzisztens: a megbízható gyökér CA által aláírt alárendelt hitelesítésszolgáltatásokat ellenőrző szervezetek kibocsáthatnak bizonytalanul megbízható tanúsítványokat. a végfelhasználók operációs rendszerei és böngészői által. Alárendelt hitelesítésszolgáltató nélkül, amely a gyökér CA-hoz fűződő bizalomlánc részeként létezik, a szervezet csak kiadhat önaláíró tanúsítványok, amelyeket a végfelhasználóknak manuálisan kell telepíteniük, akiknek saját döntésükkel kell meghozniuk azt is, hogy megbíznak-e a tanúsítvánnyal vagy sem, vagy pedig felépítenek egy privát PKI infrastruktúra (lásd alább). Ennek a használhatóságnak a megakadályozása és a bizalom potenciális akadályainak elkerülése, miközben fenntartja az egyedi tanúsítványok kiadásának lehetőségét a szervezet üzleti céljainak megfelelően, az egyik elsődleges oka annak, hogy miért érdemes saját alárendelt CA-t szereznie a szervezet részeként PKI ütemezése.
Számos más kényszerítő ok van, amelyek miatt egy szervezet meg akarja szerezni saját alárendelt CA-ját. Néhány ezek közül:
- Márkás tanúsítványok. Azok a vállalkozások, mint például a webtárhely-társaságok, márkás, nyilvános SSL /TLS tanúsítványokat vásárlóiknak. Nyilvános gyökér-CA által aláírt alárendelt CA-val ezek a vállalatok saját nevükben, tetszés szerint kiadhatnak nyilvánosan megbízható tanúsítványokat anélkül, hogy saját böngésző- és operációs rendszer-gyökértárakban kellene létrehozniuk saját gyökér-hitelesítésszolgáltatóikat, vagy jelentős összegű PKI infrastruktúra.
- Ügyfél-hitelesítés. Az alárendelt CA ellenőrzése lehetővé teszi olyan tanúsítványok aláírását, amelyek felhasználhatók a végfelhasználói eszközök hitelesítésére és a rendszerekhez való hozzáférés szabályozására. A digitális termosztátok vagy set-top boxok gyártója tanúsítványt állíthat ki minden eszközről, biztosítva, hogy csak az eszközei kommunikálhassanak a szervereivel. Saját beosztott CA-val a vállalkozás teljes mértékben ellenőrzi a tanúsítványok kiadását és frissítését az eszközökön, amelyekhez gyártanak, értékesítenek és / vagy szolgáltatásokat nyújtanak. A konkrét üzleti igények megkövetelhetik vagy kihasználhatják a nyilvánosan megbízható, nem pedig a magán használatát PKI ebben a szerepben. Például egy IoT eszköz tartalmazhat beépített webszervert, amelyhez a gyártó egyedileg azonosítható, nyilvánosan megbízható SSL-t szeretne kiadni.TLS bizonyítvány.
- Testreszabás. Saját alárendelt CA-val és szem előtt tartva, hogy a nyilvános személlyel kapcsolatos igazolásokra a CA / Böngésző fórum alapvető követelményei vonatkoznak, a szervezet szabadon testreszabhatja és konfigurálhatja tanúsítványait és életciklusát az egyedi igényeinek kielégítésére.
Privát vs nyilvános PKI
Amikor a PKI terv szerint a vállalkozásoknak döntéseket kell hozniuk a magán és az állami között PKI. E cikk alkalmazásában a legfontosabb megjegyezni, hogy ha egy szervezet nyilvános szemléletű igazolásokat kíván kiadni, és arra számít, hogy azok bizalmatlanul megbízhatóak, akkor a szervezet kell rendelkezzen beosztott hitelesítésszolgáltatóval, amelyet nyilvánosan megbízható root hitelesítésszolgáltató írt alá, vagy sikerül megszereznie saját, saját aláírású tanúsítványát, amelyet a különféle gyökérprogramok megbízhatnak. A legfelső szintű hitelesítésszolgáltatóhoz fűződő bizalom láncolata nélkül a végfelhasználók kénytelenek saját maguk meghatározni a bizalmat, ahelyett, hogy egyszerűen az operációs rendszerükre és a böngésző gyökértárolóira támaszkodnának. Másrészt, ha a közbizalom igen nem szükség van egy magán PKI Az infrastruktúra megszabadítja a szervezetet attól, hogy betartsa a közvéleményt szabályozó szabványokat PKI. Ebben az esetben egy népszerű megoldást idézhetünk elő Microsoft Active Directory tanúsítványszolgáltatások házon belüli PKI. Lát Az SSL.com cikke erről a témáról a nyilvános és a magán részletek részletesebb magyarázata érdekében PKI.
Házon belüli és SaaS
A magán és a közszolgáltatás előnyeinek mérlegelésekor PKI, az is fontos, hogy egy szervezet fontolóra vegye a személyzet és a hardver potenciális költségeit, és rájöjjön, hogy felelős saját magángyökér és alárendelt kulcsok biztonságáért. Ha nyilvános bizalomra van szükség, akkor az operációs rendszer és a böngésző gyökérprogramjainak való megfelelés megteremtéséhez és fenntartásához szükséges erőfeszítések számos szervezet számára felülmúlhatatlanok. Hosted PKI mindkét nyilvánosság számára és a a magán hitelesítésszolgáltatók már több root tanúsító hatóságtól elérhetők (ideértve a SSL.com), és segíthet a vállalati ügyfeleknek a házon belüli költségek és erőfeszítések nagy részének elkerülésében PKI. A hostolt alárendelt hitelesítésszolgáltatók általában lehetővé teszik a szervezetek számára, hogy a gazdaegység által kínált web-alapú felületen és / vagy API-n keresztül kiadják és kezeljék a végső entitás tanúsítványainak életciklusát. Hosted PKInyilvánosan megbízható vagy sem, a szervezeteknek is nyugalmat ad, ha tudják, hogy a fogadójuké PKI A létesítmények és folyamatok rendszeres, alapos és költséges ellenőrzéseken mennek keresztül, és ezeket a szabványok és a bevált gyakorlatok fejlődésével aktívan karbantartják és frissítik.
Következtetés
Ha a szervezetének szüksége van arra, hogy nyilvánosan megbízható tanúsítványokat bocsásson ki, akkor a hosztolt beosztott CA költséghatékony és kényelmes megoldás. Ha úgy érzi, hogy az alárendelt CA jó megoldás lehet az Ön számára, kérjük, ne habozzon kapcsolatba lépni velünk a következő címen: support@ssl.com további információért.
És, mint mindig, köszönöm az érdeklődését SSL.com, ahol úgy gondoljuk, hogy a biztonságosabb internet jobb internet.
