하위 CA 란 무엇입니까?
인터넷 공개 키 인프라 (인터넷) PKI) 공개 신뢰는 궁극적으로 다음과 같은 인증 기관에 의해 보호되는 루트 CA 인증서에 있습니다. SSL.com. 이 인증서는 최종 사용자의 웹 브라우저, 운영 체제 및 장치에 내장되어 있으며 사용자는 인터넷 서버의 ID를 신뢰하고 이들과 암호화 된 통신을 설정할 수 있습니다 (자세한 내용은 SSL.com의 기사 참조). 브라우저 및 인증서 유효성 검사).
이는 인터넷에서 신뢰할 수 있고 안전한 통신을 가능하게하는 기본 기술이며 설정 및 유지 관리가 어렵고 비용이 많이 들기 때문에 공개적으로 신뢰할 수있는 루트 인증서의 개인 키는 매우 가치가 있으며 어떤 비용으로도 보호해야합니다. 따라서 CA가 고객에게 최종 엔터티 인증서를 발급하는 것이 가장 합리적입니다. 하위 인증서 (때로는 중간 인증서). 이는 안전하게 오프라인으로 유지되는 루트 인증서로 서명되며 SSL /과 같은 최종 엔티티 인증서에 서명하는 데 사용됩니다.TLS 웹 서버용 인증서. 이것은 신뢰의 사슬 루트 CA로 돌아가서 하위 인증서가 손상 되어도 문제가 발생하더라도 루트 CA가 발급 한 모든 인증서를 취소해야 할 필요는 없습니다. CA / 브라우저 포럼 상황에 대한 상식적인 대응 체계화 기준 요구 사항 루트 CA에서 직접 엔터티 인증서를 발급하는 것을 금지하고 본질적으로 하위 CA를 사용하도록 명령하여 오프라인으로 유지해야합니다 ( 발급 CA) 인터넷에서 PKI.
루트 CA를 안전하게 유지하는 것 외에도 하위 CA는 조직 내에서 관리 기능을 수행합니다. 예를 들어 하나의 하위 CA는 SSL 인증서에 서명하고 다른 하나는 코드 서명에 사용할 수 있습니다. 공용 인터넷의 경우 PKI, 이러한 관리 분리 중 일부는 CA / 브라우저 포럼에서 요구합니다. 여기서 더 자세히 살펴보고자하는 다른 경우에는 루트 CA가 하위 CA를 발급하고이를 별도의 조직에 위임하여 공개적으로 신뢰할 수있는 인증서에 서명하는 기능을 해당 엔터티에 부여 할 수 있습니다.
왜 필요한가
짧은 대답은 호스팅 된 하위 CA가 자신의 루트 CA 및 / 또는 개인을 설정하는 데 드는 잠재적 비용의 일부로 공개적으로 신뢰할 수있는 최종 엔터티 인증서 발급에 대한 최대한의 제어를 제공한다는 것입니다. PKI 하부 구조.
동안 PKI 신뢰 체인에는 XNUMX 개 이상의 인증서가 포함될 수 있으며 복잡한 계층 구조로 배열 될 수 있습니다. 루트, 중간 및 최종 엔터티 인증서의 전체 원칙은 일관성을 유지합니다. 신뢰할 수있는 루트 CA가 서명 한 하위 CA를 제어하는 엔터티는 암시 적으로 신뢰할 수있는 인증서를 발급 할 수 있습니다. 최종 사용자의 운영 체제 및 웹 브라우저 루트 CA에 대한 신뢰 체인의 일부로 존재하는 하위 CA가 없으면 조직은 자기 서명 최종 사용자가 수동으로 설치해야하는 인증서로, 인증서 신뢰 여부에 대한 자체 결정을 내리거나 개인을 구축해야합니다. PKI 인프라 (아래 참조). 조직의 비즈니스 목표에 따라 사용자 지정 인증서를 마음대로 발급 할 수있는 능력을 유지하면서 이러한 유용성 장애 및 신뢰 가능성을 피하는 것은 조직의 일부로 자체 하위 CA를 원하는 주요 이유 중 하나입니다. PKI 계획.
조직이 자체 하위 CA를 획득하려는 다른 여러 가지 강력한 이유가 있습니다. 이들 중 일부는 다음과 같습니다.
- 브랜드 인증서. 웹 호스팅 회사와 같은 기업은 브랜드 공개 SSL /TLS 고객에게 인증서. 공용 루트 CA가 서명 한 하위 CA를 사용하면 이러한 회사는 브라우저 및 운영 체제 루트 저장소에 자체 루트 CA를 설정하거나 많은 투자를하지 않고도 자신의 이름으로 공개적으로 신뢰할 수있는 인증서를 자유롭게 발급 할 수 있습니다. PKI 하부 구조.
- 클라이언트 인증. 하위 CA를 제어하면 최종 사용자의 장치를 인증하고 시스템에 대한 액세스를 규제하는 데 사용할 수있는 인증서에 서명 할 수 있습니다. 디지털 온도 조절기 또는 셋톱 박스 제조업체는 각 장치에 대한 인증서를 발급하여 해당 장치 만 서버와 통신 할 수 있도록 할 수 있습니다. 자체 하위 CA를 통해 기업은 제조, 판매 및 / 또는 서비스를 제공하는 장치에서 필요에 따라 인증서 발급 및 업데이트를 완벽하게 제어 할 수 있습니다. 특정 비즈니스 요구는 개인이 아닌 공개적으로 신뢰할 수있는 사용을 필요로하거나 이점을 누릴 수 있습니다. PKI 이 역할에서. 예를 들어, IoT 장치에는 제조업체가 고유하게 식별 가능하고 공개적으로 신뢰할 수있는 SSL을 발급하고자하는 내장 웹 서버가 포함될 수 있습니다.TLS 증명서.
- 커스터마이징. 자체 하위 CA를 사용하고 공개 인증서는 CA / Browser Forum Baseline Requirements의 적용을 받는다는 점을 염두에두고 조직은 특정 요구에 맞게 인증서와 수명주기를 자유롭게 사용자 지정하고 구성 할 수 있습니다.
비공개 대 공개 PKI
성형 할 때 PKI 계획, 사업은 개인과 공공 사이에서 선택을해야합니다 PKI. 이 기사의 목적 상, 조직이 공개 인증서를 발급하고이를 암시 적으로 신뢰하기를 기대하는 경우, 조직이 절대로 필요한 것 공개적으로 신뢰할 수있는 루트 CA에 의해 서명 된 하위 CA가 있거나 다양한 루트 프로그램에서 신뢰할 수있는 자체 서명 된 인증서를 관리합니다. 루트 CA에 대한 신뢰 체인이 없으면 최종 사용자는 단순히 운영 체제와 브라우저 루트 저장소에 의존하는 것이 아니라 스스로 신뢰를 결정해야합니다. 반면에 공공의 신뢰가 지원 필요한 개인 PKI 인프라는 조직이 대중을 규제하는 표준을 준수 할 필요가 없도록합니다. PKI. 이 경우 인기있는 솔루션을 인용하여 사용할 수 있습니다. Microsoft Active Directory 인증서 서비스 사내 PKI. 참조 SSL.com의 기사 이 주제에 대해 공개 대 개인에 대한 자세한 설명 PKI.
사내 및 SaaS
개인 대 공공의 이점을 평가할 때 PKI또한 조직이 잠재적 인 인력 및 하드웨어 비용을 고려하고 자신의 개인 루트 및 하위 키의 보안에 대한 책임이 있음을 인식하는 것이 중요합니다. 대중의 신뢰가 필요한 경우, 많은 조직에서 OS 및 브라우저 루트 프로그램을 준수하고 준수하기 위해 노력해야 할 점이 상당합니다. 호스팅 PKI 두 사람 모두에게 와 개인 CA는 이제 여러 루트 인증 기관에서 사용할 수 있습니다 ( SSL.com기업 고객이 사내의 많은 비용과 노력을 피할 수 있도록 도와줍니다. PKI. 호스팅 된 하위 CA는 일반적으로 조직이 웹 기반 인터페이스 및 / 또는 호스트가 제공하는 API를 통해 최종 엔터티 인증서의 수명주기를 발급 및 관리 할 수 있도록합니다. 호스팅 PKI공개적으로 신뢰할 수 있는지 여부에 관계없이 조직은 호스트의 PKI 시설과 프로세스는 정기적이고 철저하며 고가의 감사를 거치며 표준과 모범 사례가 발전함에 따라 적극적으로 유지 보수 및 업데이트됩니다.
결론
조직에서 공개적으로 신뢰할 수있는 인증서를 발급 할 수있는 기능이 필요한 경우 호스팅 된 하위 CA가 비용 효율적이고 편리한 솔루션입니다. 하위 CA가 좋은 선택이 될 수 있다고 생각되면 주저하지 말고 다음 주소로 문의하십시오. support@ssl.com
그리고 언제나 그렇듯이 관심을 가져 주셔서 감사합니다 SSL.com안전한 인터넷이 더 나은 인터넷이라고 생각합니다.
