Podrzędne urzędy certyfikacji i dlaczego mogą być potrzebne

Co to jest podrzędny urząd certyfikacji?

W infrastrukturze klucza publicznego (Internet PKI), zaufanie publiczne ostatecznie znajduje się w certyfikatach głównego urzędu certyfikacji chronionych przez urzędy certyfikacji, takie jak SSL.com. Certyfikaty te są wbudowane w przeglądarki internetowe, systemy operacyjne i urządzenia użytkowników końcowych i pozwalają użytkownikom zarówno ufać tożsamościom serwerów internetowych, jak i nawiązywać z nimi szyfrowaną komunikację (więcej szczegółowych informacji można znaleźć w artykule SSL.com na temat Przeglądarki i sprawdzanie poprawności certyfikatów).

Ponieważ są one podstawową technologią umożliwiającą zaufaną i bezpieczną komunikację w Internecie oraz są trudne i kosztowne w ustanowieniu i utrzymaniu, klucze prywatne publicznie zaufanych certyfikatów głównych są niezwykle cenne i muszą być chronione za wszelką cenę. Dlatego też najbardziej sensowne jest, aby urzędy certyfikacji wystawiały certyfikaty jednostek końcowych klientom z domeny podrzędne certyfikaty (czasami nazywany także certyfikaty pośrednie). Są one podpisane przez certyfikat główny, który jest bezpiecznie przechowywany w trybie offline i służą do podpisywania certyfikatów jednostek końcowych, takich jak SSL /TLS certyfikaty dla serwerów sieciowych. To tworzy łańcuch zaufania powrót do głównego urzędu certyfikacji i kompromis podrzędnego certyfikatu, jakkolwiek może to być złe, nie powoduje katastrofalnej potrzeby unieważnienia każdego certyfikatu wydanego kiedykolwiek przez główny urząd certyfikacji. Kodyfikując tę ​​zdroworozsądkową odpowiedź na sytuację, CA / Browser Forum Wymagania podstawowe zabraniają wydawania certyfikatów jednostek końcowych bezpośrednio z głównych urzędów certyfikacji i zasadniczo wymagają, aby były one offline, nakazując korzystanie z podrzędnych urzędów certyfikacji (zwanych również „ wydawanie urzędów certyfikacji) w Internecie PKI.

Oprócz zapewnienia bezpieczeństwa głównego urzędu certyfikacji podrzędne urzędy certyfikacji pełnią funkcje administracyjne w organizacjach. Na przykład jeden podrzędny urząd certyfikacji może służyć do podpisywania certyfikatów SSL, a inny do podpisywania kodu. W przypadku publicznego Internetu PKI, niektóre z tych podziałów administracyjnych są wymagane przez forum CA / Browser. W innych przypadkach, które chcielibyśmy tutaj dokładniej zbadać, główny urząd certyfikacji może wydać podrzędny urząd certyfikacji i delegować go do oddzielnej organizacji, nadając temu podmiotowi możliwość podpisywania publicznie zaufanych certyfikatów.

Dlaczego możesz go potrzebować

Krótka odpowiedź jest taka, że ​​hostowany podrzędny urząd certyfikacji zapewnia największą możliwą kontrolę nad wydawaniem publicznie zaufanych certyfikatów jednostek końcowych za ułamek potencjalnego kosztu ustanowienia własnego głównego urzędu certyfikacji i / lub prywatnego PKI infrastruktura.

Podczas PKI łańcuch zaufania może zawierać więcej niż trzy certyfikaty i może być ułożony w złożone hierarchie, ogólna zasada certyfikatów głównych, pośrednich i encji końcowych pozostaje spójna: podmioty kontrolujące podrzędne urzędy certyfikacji podpisane przez zaufane główne urzędy certyfikacji mogą wystawiać certyfikaty, które są domyślnie zaufane przez systemy operacyjne i przeglądarki internetowe użytkowników końcowych. Bez podrzędnego urzędu certyfikacji, który istnieje w ramach łańcucha zaufania do głównego urzędu certyfikacji, organizacja może wydawać tylko samopodpisany certyfikaty, które muszą być instalowane ręcznie przez użytkowników końcowych, którzy muszą również podejmować własne decyzje dotyczące zaufania do certyfikatu, czy nie, lub zbudować prywatny PKI infrastruktura (patrz poniżej). Unikanie tej przeszkody w użyteczności i potencjalnego paska zaufania, przy jednoczesnym utrzymaniu możliwości wydawania niestandardowych certyfikatów do woli zgodnie z celami biznesowymi organizacji, jest jednym z głównych powodów, dla których możesz chcieć, aby Twój podrzędny urząd certyfikacji był częścią organizacji PKI Plan.

Istnieje wiele innych ważnych powodów, dla których organizacja może chcieć przejąć własny podrzędny urząd certyfikacji. Kilka z nich to:

  • Certyfikaty markowe. Przedsiębiorstwa, takie jak firmy hostingowe, mogą chcieć oferować markowe publiczne SSL /TLS certyfikaty swoim klientom. Mając podrzędny urząd certyfikacji podpisany przez publiczny główny urząd certyfikacji, firmy te mogą dowolnie wystawiać publicznie zaufane certyfikaty we własnym imieniu, bez konieczności ustanawiania własnego głównego urzędu certyfikacji w głównych magazynach przeglądarki i systemu operacyjnego lub znacznych inwestycji w PKI infrastruktura.
  • Uwierzytelnianie klienta. Kontrolowanie podrzędnego urzędu certyfikacji daje możliwość podpisywania certyfikatów, które mogą być używane do uwierzytelniania urządzeń użytkowników końcowych i regulowania dostępu do systemów. Producent cyfrowych termostatów lub dekoderów może chcieć wystawić certyfikat dla każdego urządzenia, zapewniając, że tylko jego urządzenia mogą komunikować się z jego serwerami. Dzięki własnemu podrzędnemu urzędowi certyfikacji przedsiębiorstwo ma pełną kontrolę nad wydawaniem i aktualizowaniem certyfikatów w razie potrzeby na urządzeniach, które produkuje, sprzedaje i / lub świadczy usługi. Specyficzne potrzeby biznesowe mogą wymagać lub skorzystać na korzystaniu z usług publicznych, a nie prywatnych PKI w tej roli. Na przykład urządzenie IoT może zawierać wbudowany serwer WWW, dla którego producent chce wydać jednoznacznie identyfikowalny, publicznie zaufany SSL /TLS certyfikat.
  • Dostosowywanie. Dzięki własnemu podległemu urzędowi certyfikacji i pamiętając, że publiczne certyfikaty podlegają wymaganiom podstawowym forum CA / Browser Forum, organizacja może dowolnie dostosowywać i konfigurować swoje certyfikaty oraz ich cykl życia, aby spełnić określone potrzeby.

Prywatny vs. publiczny PKI

Podczas tworzenia PKI plan, firmy muszą dokonywać wyboru między prywatnym i publicznym PKI. Na potrzeby tego artykułu najważniejsze jest, aby pamiętać, że jeśli organizacja chce wydawać certyfikaty publiczne i oczekiwać, że będą im zaufane, organizacja musi mieć podrzędny urząd certyfikacji podpisany przez publicznie zaufany główny urząd certyfikacji lub uzyskać własny certyfikat z podpisem własnym, któremu ufają różne programy główne. Bez łańcucha zaufania do głównego urzędu certyfikacji użytkownicy końcowi są zmuszeni do samodzielnego określania zaufania, a nie po prostu polegania na systemie operacyjnym i głównych magazynach przeglądarki. Z drugiej strony, jeśli zaufanie publiczne jest nie potrzebny, prywatny PKI infrastruktura uwalnia organizację od konieczności przestrzegania standardów regulujących społeczeństwo PKI. W takim przypadku można użyć popularnego rozwiązania Usługi certyfikatów Microsoft Active Directory do własnego użytku PKI. Zobaczyć Artykuł SSL.com na ten temat, aby uzyskać bardziej szczegółowe wyjaśnienie publiczne vs. prywatne PKI.

Wewnętrzna vs. SaaS

Podczas ważenia korzyści prywatnych i publicznych PKI, ważne jest również, aby organizacja wzięła pod uwagę potencjalny koszt personelu i sprzętu oraz zdała sobie sprawę, że będzie odpowiedzialna za bezpieczeństwo własnego prywatnego katalogu głównego i kluczy podrzędnych. Jeśli wymagane jest zaufanie publiczne, wysiłek konieczny do ustanowienia i utrzymania zgodności z systemem operacyjnym i programami root przeglądarki jest znaczny do tego stopnia, że ​​jest niemożliwy do pokonania dla wielu organizacji. Hostowany PKI dla obu publicznych i prywatne urzędy certyfikacji są teraz dostępne z wielu głównych urzędów certyfikacji (w tym SSL.com) i może pomóc klientom korporacyjnym uniknąć znacznych kosztów i wysiłku własnego PKI. Hostowany podrzędny urząd certyfikacji zazwyczaj pozwala organizacjom wydawać i zarządzać cyklem życia certyfikatów jednostek końcowych za pośrednictwem interfejsu internetowego i / lub interfejsu API oferowanego przez hosta. Hostowany PKI, publicznie zaufane lub nie, daje organizacjom spokój ducha, wiedząc, że ich gospodarze PKI obiekty i procesy podlegają regularnym, dokładnym i kosztownym audytom oraz że będą aktywnie utrzymywane i aktualizowane w miarę ewolucji standardów i najlepszych praktyk.

Wnioski

Jeśli Twoja organizacja potrzebuje możliwości wystawiania certyfikatów zaufanych publicznie, hostowany podrzędny urząd certyfikacji jest opłacalnym i wygodnym rozwiązaniem. Jeśli uważasz, że podrzędny urząd certyfikacji może być dla Ciebie dobrą opcją, nie wahaj się z nami skontaktować pod adresem support@ssl.com po więcej informacji.

I jak zwykle dziękuję za zainteresowanie SSL.com, gdzie naszym zdaniem bezpieczniejszy Internet to lepszy Internet.

Zespół wsparcia SSL.com

Autor - administrator treści
Wszystkie Posty

Powiązane artykuły

Zobacz wszystkie artykuły
Facebook youtube Twitter Github

Subskrybuj biuletyn SSL.com

Co to jest SSL /TLS?

Odtwórz wideo

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę