Что такое подчиненный ЦС?
В инфраструктуре открытых ключей Интернета (Интернет PKI), общественное доверие в конечном итоге находится в сертификатах корневого центра сертификации, защищенных такими органами сертификации, как SSL.com. Эти сертификаты встроены в веб-браузеры, операционные системы и устройства конечных пользователей и позволяют пользователям как доверять идентификаторам интернет-серверов, так и устанавливать с ними зашифрованную связь (более подробную информацию см. В статье SSL.com о Браузеры и проверка сертификатов).
Поскольку они являются основной технологией, обеспечивающей надежную и безопасную связь в Интернете, и их сложно и дорого устанавливать и поддерживать, закрытые ключи публично доверенных корневых сертификатов чрезвычайно ценны и должны быть защищены любой ценой. Следовательно, для центров сертификации имеет смысл выдавать сертификаты конечных объектов клиентам из подчиненные сертификаты (иногда также упоминается как промежуточные сертификаты). Они подписываются корневым сертификатом, который надежно хранится в автономном режиме и используется для подписи сертификатов конечных объектов, таких как SSL /TLS сертификаты для веб-серверов. Это создает цепь доверия возвращение к корневому ЦС, и компрометация подчиненного сертификата, каким бы плохим он ни был, не приводит к катастрофической необходимости отзывать каждый сертификат, когда-либо выданный корневым ЦС. Кодифицируя этот здравый смысл реакции на ситуацию, CA / Browser Forum Базовые требования запретить выдачу сертификатов конечных объектов непосредственно из корневых ЦС и, по существу, требовать, чтобы они оставались в автономном режиме, что требует использования подчиненных ЦС (также известных как выдающие CA) в интернете PKI.
Помимо обеспечения безопасности корневого ЦС, подчиненные ЦС выполняют административные функции в организациях. Например, один подчиненный ЦС может использоваться для подписи сертификатов SSL, а другой - для подписи кода. В случае публичного Интернета PKI, некоторые из этих административных разделений требуются форумом CA / Browser. В других случаях, которые мы хотим здесь изучить более внимательно, корневой ЦС может выдать подчиненный ЦС и делегировать его отдельной организации, давая этому объекту возможность подписывать общедоступные доверенные сертификаты.
Почему вам может понадобиться
Короткий ответ заключается в том, что размещенный подчиненный ЦС предлагает максимально возможный контроль над выпуском общедоступных сертификатов конечных объектов за небольшую часть потенциальных затрат на создание собственного корневого ЦС и / или частного. PKI инфраструктура.
В то время как PKI Цепочка доверия может содержать более трех сертификатов и может быть организована в сложные иерархии, общий принцип сертификатов корневого, промежуточного и конечного объекта остается согласованным: объекты, контролирующие подчиненные ЦС, подписанные доверенными корневыми ЦС, могут выдавать сертификаты, которым неявно доверяют операционными системами конечных пользователей и веб-браузерами. Без подчиненного ЦС, который существует как часть цепочки доверия к корневому ЦС, организация может выпускать только самозаверяющими сертификаты, которые должны быть установлены вручную конечными пользователями, которые также должны самостоятельно принимать решения о том, доверять сертификату или нет, или создавать частные PKI инфраструктура (см. ниже). Избежание этого препятствия удобству использования и потенциальному препятствию доверию, в то же время поддерживая возможность выдачи пользовательских сертификатов по желанию в соответствии с бизнес-целями вашей организации, является одной из основных причин, почему вы можете захотеть, чтобы ваш собственный подчиненный ЦС был частью вашей организации. PKI план.
Существует ряд других веских причин, по которым организация может пожелать приобрести собственный подчиненный ЦС. Вот некоторые из них:
- Фирменные сертификаты. Такие предприятия, как веб-хостинговые компании, могут пожелать предложить брендированные общедоступные SSL /TLS сертификаты своим клиентам. С подчиненным ЦС, подписанным общедоступным корневым ЦС, эти компании могут по своему усмотрению выпускать общедоступные доверенные сертификаты от своего имени, без необходимости создавать собственный корневой ЦС в корневых хранилищах браузера и операционной системы или вкладывать значительные средства в PKI инфраструктура.
- Аутентификация клиента. Управление подчиненным ЦС дает возможность подписывать сертификаты, которые могут использоваться для аутентификации устройств конечных пользователей и регулирования доступа к системам. Производитель цифровых термостатов или телевизионных приставок может пожелать выпустить сертификат для каждого устройства, гарантируя, что только его устройства могут взаимодействовать с его серверами. Имея собственный подчиненный ЦС, предприятие имеет полный контроль над выпуском и обновлением сертификатов по мере необходимости на устройствах, которые они производят, продают и / или предоставляют услуги. Конкретные бизнес-потребности могут потребовать или выиграть от использования публично доверенных, а не частных PKI в этой роли. Например, устройство IoT может включать в себя встроенный веб-сервер, для которого производитель желает выпустить однозначно идентифицируемый, пользующийся всеобщим доверием SSL /TLS сертификат.
- Настройка. Имея собственный подчиненный ЦС и имея в виду, что общедоступные сертификаты подпадают под базовые требования CA / Browser Forum, организация может свободно настраивать и настраивать свои сертификаты и их жизненный цикл для удовлетворения своих конкретных потребностей.
Частное против общественного PKI
При формировании PKI план, предприятия должны делать выбор между частным и государственным PKI, Для целей этой статьи очень важно отметить, что, если организация желает выпустить общедоступные сертификаты и ожидает, что им неявно доверяют, организация должен иметь подчиненный ЦС, подписанный общедоступным корневым ЦС, или получить собственный самозаверяющий сертификат, которому доверяют различные корневые программы. Без цепочки доверия к корневому ЦС конечные пользователи вынуждены самостоятельно определять степень доверия, а не просто полагаться на свою операционную систему и корневые хранилища браузера. С другой стороны, если общественное доверие не нужен частный PKI инфраструктура освобождает организацию от необходимости придерживаться стандартов, регулирующих общественное PKI, В этом случае, можно привести популярное решение, использовать Службы сертификатов Microsoft Active Directory для внутренних PKI. Посмотреть Статья SSL.com на эту тему для более подробного объяснения публичного и частного PKI.
Внутренний против SaaS
При взвешивании преимуществ частного и общественного PKIДля организации также важно учитывать потенциальные затраты на персонал и оборудование и понимать, что они будут нести ответственность за безопасность своего собственного корневого и подчиненного ключей. Если требуется общественное доверие, усилия, необходимые для установления и поддержания соответствия ОС и корневым программам браузера, значительны до такой степени, что становятся непреодолимыми для многих организаций. Хостинг PKI как для общественности и частные ЦС теперь доступны из нескольких корневых центров сертификации (включая SSL.com) и может помочь корпоративным клиентам избежать значительных затрат и усилий собственными силами PKI, Размещенный подчиненный ЦС обычно позволяет организациям выпускать и управлять жизненным циклом сертификатов конечных объектов через веб-интерфейс и / или API, предлагаемые хостом. Хостинг PKI, пользующиеся всеобщим доверием или нет, также дает организациям уверенность в том, что PKI объекты и процессы проходят регулярные, тщательные и дорогостоящие аудиты, и что они будут активно поддерживаться и обновляться по мере развития стандартов и лучших практик.
Заключение
Если вашей организации нужна возможность выпускать общедоступные доверенные сертификаты, размещенный подчиненный ЦС - это экономичное и удобное решение. Если вы считаете, что подчиненный центр сертификации может быть для вас хорошим вариантом, без колебаний свяжитесь с нами по адресу support@ssl.com чтобы получить больше информации.
И, как всегда, спасибо за ваш интерес к SSL.comгде мы считаем, что более безопасный Интернет - это лучший Интернет.
