Hva er en underordnet CA?
I offentlig nøkkelinfrastruktur på Internett (Internett PKI), er offentlig tillit til slutt bosatt i rot CA-sertifikater som er ivaretatt av sertifiseringsinstanser som SSL.com. Disse sertifikatene er innebygd i sluttbrukernes nettlesere, operativsystemer og enheter, og lar brukerne både stole på identiteten til Internett-serverne og etablere kryptert kommunikasjon med dem (for mer detaljert informasjon, se SSL.coms artikkel om Nettlesere og sertifikatvalidering).
Fordi de er den primære teknologien som muliggjør pålitelig og sikker kommunikasjon på Internett, og som er vanskelige og dyre å etablere og vedlikeholde, er de private nøklene til offentlig pålitelige rotsertifikater ekstremt verdifulle og må beskyttes for enhver pris. Derfor er det mest fornuftig for sertifiseringsinstanser å utstede sluttsentersertifikater til kunder fra underordnede sertifikater (noen ganger også referert til som mellombevis). Disse er signert av rotsertifikatet, som holdes sikkert frakoblet, og brukes til å signere sluttsentersertifikater, for eksempel SSL /TLS sertifikater for webservere. Dette skaper en kjede av tillit å føre tilbake til root CA, og kompromisset med et underordnet sertifikat, uansett hvor ille det måtte være, resulterer ikke i det katastrofale behovet for å tilbakekalle alle sertifikater som noen gang er utstedt av root CA. Kodifiserer denne sunn fornuft respons på situasjonen, CA / Browser Forum Baseline Krav forby utstedelse av slutt entitetssertifikater direkte fra root CAs og krever i hovedsak at de holdes offline, med pålegg om bruk av underordnede CAs (også kjent som utsteder CAer) på Internett PKI.
I tillegg til å holde rot-CA-en trygg, utfører underordnede CA-er administrative funksjoner i organisasjoner. For eksempel kan en underordnet CA brukes til å signere SSL-sertifikater og en annen for kodesignering. Når det gjelder offentlig Internett PKI, noen av disse administrative separasjonene er pålagt av CA / Browser-forumet. I andre tilfeller, som vi ønsker å undersøke nærmere her, kan en rot-CA utstede en underordnet CA og delegere den til en egen organisasjon, noe som gir muligheten til å signere offentlig klarerte sertifikater til den enheten.
Hvorfor du kanskje trenger en
Det korte svaret er at et vertskap for underordnet CA gir deg størst mulig kontroll over utstedelse av offentlig pålitelige sertifikat for sluttselskaper, til en brøkdel av den potensielle kostnaden for å etablere din egen root CA og / eller private PKI infrastruktur.
Mens en PKI tillitskjede kan inneholde mer enn tre sertifikater, og kan ordnes i komplekse hierarkier, det overordnede prinsippet om rot-, mellomliggende og slutt entitetssertifikater forblir konsistent: enheter som kontrollerer underordnede CAer signert av pålitelige root CAs kan utstede sertifikater som implisitt er klarert av sluttbrukernes operativsystemer og nettlesere. Uten en underordnet CA som eksisterer som en del av en kjede av tillit til en rot CA, kan en organisasjon bare utstede selvsignert sertifikater som må installeres manuelt av sluttbrukere, som også må ta sine egne beslutninger om å stole på sertifikatet eller ikke, eller bygge et privat PKI infrastruktur (se nedenfor). Å unngå denne brukbarhetshindringen og den potensielle baren å stole på, samtidig som du opprettholder muligheten til å utstede tilpassede sertifikater etter ønske i henhold til organisasjonens forretningsmessige mål, er en av de viktigste grunnene til at du kanskje vil ha din egen underordnede CA som en del av organisasjonens PKI plan.
Det er en rekke andre overbevisende grunner til at en organisasjon kan ønske å skaffe seg sin egen underordnede CA. Noen få av disse er:
- Merkesertifikater. Bedrifter som webhosting-selskaper kan ønske å tilby merket offentlig vendt SSL /TLS sertifikater til sine kunder. Med en underordnet CA signert av en offentlig rot-CA, kan disse selskapene utstede offentlig pålitelige sertifikater i sitt eget navn, etter eget ønske, uten å måtte opprette sin egen root CA i nettleser- og operativsystemets rotbutikker eller investere mye i PKI infrastruktur.
- Klientautentisering. Å kontrollere en underordnet CA gir muligheten til å signere sertifikater som kan brukes til å autentisere sluttbrukernes enheter og regulere tilgang til systemer. En produsent av digitale termostater eller dekoder kan ønske å utstede et sertifikat for hver enhet, og sørge for at bare enhetene kan kommunisere med serverne. Med sin egen underordnede CA har virksomheten full kontroll over å utstede og oppdatere sertifikater etter behov på enhetene de produserer, selger og / eller tilbyr tjenester for. Spesifikke forretningsbehov kan kreve eller ha nytte av å bruke offentlig klarert i stedet for privat PKI i denne rollen. For eksempel kan en IoT-enhet inneholde en innebygd webserver som produsenten ønsker å utstede en unikt identifiserbar, offentlig klarert SSL /TLS sertifikat.
- Tilpasning. Med sin egen underordnede CA, og med tanke på at sertifikater som vender mot offentligheten er underlagt CA / Browser Forum Baseline Krav, er en organisasjon fritt til å tilpasse og konfigurere sine sertifikater og deres livssyklus til å dekke dens spesielle behov.
Privat kontra offentlig PKI
Når du danner en PKI plan, må virksomheter ta valg mellom private og offentlige PKI. For formålene med denne artikkelen er det viktigst å merke seg at hvis en organisasjon ønsker å utstede publikumsbevis og forventer at de implisitt er klarert, vil organisasjonen må ha en underordnet CA signert av en offentlig klarert root CA, eller klarer å få sitt eget selvsignerte sertifikat klarert av de forskjellige root-programmene. Uten en kjede av tillit til en rot-CA, blir sluttbrukere tvunget til å bestemme sin tillit i stedet for bare å stole på deres operativsystem og nettleserens root-butikker. På den annen side, hvis offentlig tillit er det ikke nødvendig, en privat PKI infrastruktur frigjør en organisasjon fra å måtte følge standarder som regulerer offentlig PKI. I dette tilfellet er det mulig å sitere en populær løsning å bruke Microsoft Active Directory -sertifikattjenester for internt PKI. Se SSL.coms artikkel om dette emnet for en mer detaljert forklaring av offentlig kontra privat PKI.
I huset vs. SaaS
Når du veier fordelene ved privat kontra offentlig PKI, er det også viktig for en organisasjon å vurdere de potensielle kostnadene ved bemanning og maskinvare, og innse at de vil være ansvarlige for sikkerheten til sin egen private rot og underordnede nøkler. Hvis offentlig tillit er nødvendig, er innsatsen som er nødvendig for å etablere og opprettholde overholdelse av OS- og nettleserrotprogrammer betydelig til poenget med å være uoverkommelig for mange organisasjoner. Hosted PKI for begge offentlige og private CAer er nå tilgjengelige fra flere rotsertifikatmyndigheter (inkludert SSL.com) og kan hjelpe bedriftskunder å unngå mye av utgiftene og innsatsen til egen regning PKI. En hostet underordnet CA lar organisasjoner vanligvis utstede og administrere livssyklusen til slutt entitetssertifikater via et nettbasert grensesnitt og / eller API som tilbys av verten. Hosted PKIoffentlig pålitelig eller ikke, gir også organisasjoner sjelen til å vite at deres vert PKI fasiliteter og prosesser gjennomgår regelmessige, grundige og dyre revisjoner, og at de vil vedlikeholdes og oppdateres aktivt når standarder og beste praksis utvikler seg.
konklusjonen
Hvis organisasjonen din trenger muligheten til å utstede offentlig pålitelige sertifikater, er en underordnet CA som er vert en kostnadseffektiv og praktisk løsning. Hvis du føler at en underordnet CA kan være et godt alternativ for deg, ikke nøl med å kontakte oss på support@ssl.com for mer informasjon.
Og som alltid takk for interessen din for SSL.com, der vi mener et tryggere internett er et bedre internett.
