下位CAとは何ですか?
インターネット公開鍵インフラストラクチャ(インターネット PKI)、パブリックトラストは、最終的には次のような証明機関によって保護されたルートCA証明書に存在します。 SSL.com。 これらの証明書はエンドユーザーのWebブラウザー、オペレーティングシステム、およびデバイスに組み込まれており、ユーザーはインターネットサーバーのIDを信頼し、それらとの暗号化通信を確立できます(詳細については、SSL.comの記事を参照してください) ブラウザと証明書の検証).
これらはインターネット上で信頼できる安全な通信を可能にする主要なテクノロジーであり、確立および維持が困難で費用がかかるため、公に信頼されたルート証明書の秘密鍵は非常に価値が高く、あらゆるコストで保護する必要があります。 したがって、CAがエンドエンティティ証明書を顧客に発行することは、 下位証明書 (時々、 中間証明書)。 これらは、安全にオフラインに保たれるルート証明書によって署名され、SSL /などのエンドエンティティ証明書に署名するために使用されます。TLS Webサーバーの証明書。 これにより、 信頼の連鎖 ルートCAに戻り、下位証明書が侵害されたとしても、ルートCAによって発行されたすべての証明書を取り消す必要はありません。 この状況に対する常識的な対応を体系化したCA /ブラウザフォーラム ベースライン要件 ルートCAから直接エンドエンティティ証明書を発行することを禁止し、基本的にそれらをオフラインにして、下位のCA(別名 CAの発行) インターネットで PKI.
ルートCAを安全に保つことに加えて、下位CAは組織内で管理機能を実行します。 たとえば、XNUMXつの従属CAを使用してSSL証明書に署名し、別のCAを使用してコード署名を行うことができます。 公共インターネットの場合 PKI、これらの管理上の分離の一部は、CA /ブラウザフォーラムによって義務付けられています。 ここでさらに詳しく調べたい場合、ルートCAが下位CAを発行して別の組織に委任し、公的に信頼された証明書に署名する機能をそのエンティティに付与します。
なぜ必要なのか
簡単に言えば、ホストされた下位CAは、独自にルートCAおよび/またはプライベートを確立する潜在的なコストのほんの一部で、公的に信頼されたエンドエンティティ証明書の発行を最大限に制御できるということです。 PKI インフラ。
同時に PKI 信頼の連鎖にはXNUMXつ以上の証明書が含まれる場合があり、複雑な階層に配置される場合があります。ルート、中間、およびエンドエンティティ証明書の全体的な原則は一貫しています。信頼されたルートCAによって署名された下位CAを制御するエンティティは、暗黙的に信頼された証明書を発行できますエンドユーザーのオペレーティングシステムとWebブラウザー。 ルートCAへの信頼チェーンの一部として存在する下位CAがない場合、組織は 自己署名 エンドユーザーが手動でインストールする必要がある証明書。エンドユーザーは、証明書を信頼するかどうかを独自に決定するか、プライベートを構築する必要があります。 PKI インフラストラクチャ(下記参照)。 組織のビジネス目標に応じて自由にカスタム証明書を発行する機能を維持しながら、このユーザビリティの障害と信頼の潜在的な障害を回避することは、組織の一部として独自の下位CAが必要になる主な理由のXNUMXつです。 PKI 。計画
組織が独自の下位CAの取得を希望する可能性のある他の多くの説得力のある理由があります。 これらのいくつかは次のとおりです。
- ブランド証明書。 ウェブホスティング会社などの企業は、ブランド化された公開SSL /を提供したいと思うかもしれません。TLS 顧客への証明書。 パブリックルートCAによって署名された下位CAを使用すると、これらの企業は、ブラウザおよびオペレーティングシステムのルートストアで独自のルートCAを確立したり、多額の投資をしたりすることなく、自由に自分の名前で公的に信頼できる証明書を発行できます。 PKI インフラ。
- クライアント認証。 下位CAを制御すると、エンドユーザーのデバイスを認証し、システムへのアクセスを規制するために使用できる証明書に署名する機能が付与されます。 デジタルサーモスタットまたはセットトップボックスの製造元は、デバイスのみがサーバーと通信できるように、デバイスごとに証明書を発行する場合があります。 独自の下位CAを使用することで、企業は、製造、販売、および/またはサービスを提供するデバイスで必要に応じて証明書の発行と更新を完全に制御できます。 特定のビジネスニーズでは、プライベートではなくパブリックに信頼されたものを使用する必要がある PKI この役割で。 たとえば、IoTデバイスには、製造元が一意に識別可能で公的に信頼されているSSL /を発行することを希望する組み込みのWebサーバーが含まれている場合があります。TLS 証明書。
- カスタマイズ。 独自の下位CAを使用し、公開されている証明書はCA /ブラウザフォーラムのベースライン要件の対象となることを念頭に置いて、組織は特定のニーズを満たすために証明書とそのライフサイクルを自由にカスタマイズおよび設定できます。
プライベートvsパブリック PKI
形成するとき PKI 計画、企業は民間と公共のどちらかを選択する必要があります PKI。 この記事の目的上、組織が公開証明書を発行し、それらが暗黙的に信頼されることを期待する場合、組織は、 しなければなりません 公的に信頼されたルートCAによって署名された下位CAを持っているか、さまざまなルートプログラムによって信頼された独自の自己署名証明書を取得するために管理します。 ルートCAへの信頼の連鎖がなければ、エンドユーザーは、オペレーティングシステムとブラウザーのルートストアに単に依存するのではなく、信頼を自分で決定する必要があります。 一方、国民の信頼が 必要、プライベート PKI インフラストラクチャにより、組織は公共を規制する基準に準拠する必要がなくなります PKI。 この場合、一般的な解決策を引用して使用することが可能です。 Microsoft Active Directory証明書サービス 社内向け PKI。 見る SSL.comの記事 パブリックとプライベートの詳細な説明については、このトピックについて PKI.
社内vs SaaS
プライベートとパブリックのメリットを比較検討する場合 PKI、組織が人員配置とハードウェアの潜在的なコストを検討し、自分のプライベートルートと下位キーのセキュリティに責任を持つことを認識することも重要です。 パブリックトラストが必要な場合、OSおよびブラウザのルートプログラムへの準拠を確立および維持するために必要な労力は、多くの組織にとって乗り越えられないほど重要です。 ホステッド PKI 両方の一般向け & プライベートCAが複数のルート認証局( SSL.com)、企業顧客が社内の費用と労力の多くを回避するのに役立ちます PKI。 ホストされた下位CAにより、組織は通常、ホストが提供するWebベースのインターフェイスやAPIを介してエンドエンティティ証明書のライフサイクルを発行および管理できます。 ホステッド PKIは、公的に信頼されているかどうかにかかわらず、組織のホストの PKI 施設とプロセスは定期的かつ徹底的で費用のかかる監査を受け、標準とベストプラクティスが進展するにつれて積極的に維持および更新されます。
まとめ
組織が公的に信頼された証明書を発行する機能を必要とする場合、ホストされた下位CAは費用効果が高く便利なソリューションです。 下位CAが適切なオプションであると思われる場合は、お気軽に次のアドレスまでご連絡ください。 support@ssl.com 。
そして、いつものように、 SSL.comより安全なインターネットがより良いインターネットであると私たちが信じるところ
