공개 키 인프라
사람들이 언급 할 때 공개 or 사설 PKI [01], 그들은 실제로 언급하고 있습니다 공개적으로 신뢰할 수있는 및 개인적으로 신뢰할 수있는 인프라. 공개 및 개인 키는 공개 및 개인 키와 관련이 없습니다. PKI.
또한 두 경우 모두 호스팅됨을 나타냅니다. PKI or PKI서비스로 (PKIaaS) 솔루션. 내부 (또는 로컬 호스팅) PKI 사적으로 일할 수있다 PKI하지만 호스팅을 통해 얻을 수있는 도구와 서비스를 구현하려면 많은 노력과 자원이 필요합니다 PKI or PKIaaS 제공자.
기본적으로 PKI 두 가지 기능이 있습니다.
- 공개 컬렉션 관리[02] 개인 키
- 각 키를 개인 또는 조직과 같은 개별 엔티티의 ID와 바인딩합니다.
바인딩은 전자 신분 증명서의 발행을 통해 확립됩니다. 디지털 인증서 [03]. 인증서는 클라이언트 소프트웨어 (예 : 브라우저)가 해당 공개 키를 사용하여 인증서의 인증서를 확인할 수 있도록 개인 키로 암호화 서명됩니다. 정품 (즉, 올바른 개인 키로 서명) 보전 (즉, 어떤 식 으로든 수정되지 않았습니다).
공개적으로 신뢰할 수 있고 개인적으로 신뢰할 수있는 PKI
둘 다 PKI 구성은 동일한 기능을 제공하며 구별은 매우 간단합니다.
공공 영역 PKI클라이언트 소프트웨어는 개인용으로 자동 신뢰 PKI해당 사용자가 발행 한 인증서보다 먼저 사용자가 (또는 회사 및 IoT 환경에서 도메인 관리자가 모든 장치에 배포 한) 수동으로 신뢰해야합니다. PKI 확인할 수 있습니다.
공개적으로 신뢰할 수있는 조직 PKI ~라고 인증 기관 (CA). 공개적으로 신뢰할 수 있으려면 CA / B 포럼의 기본 요구 사항과 같은 표준에 대해 CA를 감사해야합니다. [04] Microsoft Trusted Root Store 프로그램과 같은 공용 신뢰 저장소에 수용됩니다.
비공개이지만 PKI 구현은 공개 대응 물만큼 안전 할 수 있으며, 이러한 요구 사항을 준수하지 않고 신뢰 프로그램에 수용되기 때문에 기본적으로 신뢰되지 않습니다.
공개적으로 신뢰할 수있는 이유를 선택해야하는 이유 PKI?
공개적으로 신뢰할 수 있다는 것은 공개적으로 신뢰할 수 있음을 의미합니다 루트 인증서 (CA의 ID를 공식 공개 키와 연결)는 이미 대부분의 클라이언트에 배포되어 있습니다. 브라우저, 운영 체제 및 기타 클라이언트 소프트웨어에는 신뢰할 수있는 공개 키 목록이 제공됩니다. 이러한 공개 키는 인증서를 확인하는 데 사용됩니다. (책임있는 공급 업체도 소프트웨어를 업데이트 할 때이 목록을 업데이트해야합니다.) 반면, 개인이 신뢰할 수있는 루트 인증서 (개인이 필요함) PKI)는 이러한 개인의 인증서보다 먼저 클라이언트에 수동으로 설치해야합니다 PKI의 유효성을 검사 할 수 있습니다.
결과적으로 공개적으로 액세스 가능한 웹 사이트 또는 기타 온라인 리소스를 보호하려는 경우 공개적으로 신뢰할 수있는 인증서가 발급됩니다. PKI (즉, CA)는 각 방문자가 수동으로 개인을 설치하도록 요구하기 때문에 갈 길입니다. PKI의 브라우저에 대한 루트 인증서는 실용적이지 않습니다 (결과적으로 나타날 수있는 일관된 보안 경고는 사이트의 평판에 부정적인 영향을 미칩니다).
비공개 적으로 신뢰할 수있는 이유를 선택해야하는 이유 PKI?
공공 영역 PKI개인의 신뢰를받는 동안 규정을 엄격히 준수하고 정기적 인 감사를 받아야합니다. PKI 감사 요구 사항을 포기하고 운영자가 원하는 방식으로 표준에서 벗어날 수 있습니다. 이는 모범 사례를 엄격하게 따르지 않음을 의미하지만 고객이 PKI 인증서 정책 및 운영에 대한 더 많은 자유.
한 가지 예 : 기준 요구 사항은 공개적으로 신뢰할 수있는 CA가 내부 도메인에 대한 인증서를 발급하는 것을 금지합니다 (예 : example.local
). 개인 PKI 원하는 경우 이러한 로컬 도메인을 포함하여 필요에 따라 모든 도메인에 대한 인증서를 발급 할 수 있습니다.
또한 공개적으로 신뢰할 수있는 인증서는 제어 규정에 따라 엄격하게 정의되고 공인 인증서에 대해 허용 된 X.509 표준에 매핑되는 인증서 프로필 형식으로 특정 정보를 항상 포함해야합니다. 그러나 일부 고객은 특히 조직의 예상 사용 및 보안 문제에 맞게 조정 된 사용자 지정 인증서 프로필이 필요할 수 있습니다. 개인 PKI 특수한 인증서 프로필을 사용하여 인증서를 발급 할 수 있습니다.
인증서 자체와 별도로 PKI 신원 및 자격 증명 확인 절차를 완전히 제어 할 수 있습니다. 고객의 고유 한 액세스 제어 시스템 (예 : 단일 사인온 또는 LDAP 디렉토리)은 개인과 통합 될 수 있습니다. PKI 운영자가 이미 신뢰하는 당사자에게 인증서를 쉽게 제공 할 수 있습니다. 반대로 공개적으로 신뢰할 수있는 PKI 인증서를 발급하기 전에 자격이있는 데이터베이스에 대해 엄격한 수동 및 자동 검사 및 유효성 검사를 수행해야합니다.
인증서 투명성
우리는 또한 개인 PKI 참여할 필요가 없습니다 인증서 투명성 [05].
Chrome과 같은 브라우저는 이제 시행 [06] 공개적으로 신뢰할 수있는 모든 인증서에 대한 CT. CA는 공개적으로 액세스 할 수있는 데이터베이스에 발급 된 모든 인증서를 게시해야합니다. 은밀한 PKI 그러나 운영자는 CT를 구현할 의무가 없으며 결과적으로 민감한 응용 프로그램에 대한 더 나은 개인 정보를 제공하거나 내부 네트워크 구조의 공개가 유해한 것으로 간주 될 수 있습니다 [07].
결론
하나 선택 PKI 다른 해결책은 사소한 결정이 아닙니다. 공공 및 민간 PKI 이점과 단점을 제공하며, 사용자의 선택은 공용 액세스 요구, 사용 편의성, 인프라 제어를위한 보안 및 정책 요구 사항 등 여러 가지 요소에 따라 달라질 수 있습니다.
여기에서 SSL.com, 우리는 당신이 효과적인 구축을 도와 드리겠습니다 PKI 조직의 고유 한 요구에 맞는 계획.