Vad är en underordnad CA?
I Internet offentlig nyckelinfrastruktur (Internet PKI) finns allmänhetens förtroende i slutändan i de grundläggande CA-certifikaten som skyddas av certifieringsmyndigheter som SSL.com. Dessa certifikat är inbyggda i slutanvändarnas webbläsare, operativsystem och enheter och tillåter användare att både lita på identiteten på Internet-servrar och etablera krypterad kommunikation med dem (för mer detaljerad information, se SSL.coms artikel om Webbläsare och certifikatvalidering).
Eftersom de är den primära tekniken som möjliggör pålitlig och säker kommunikation på Internet och är svåra och dyra att upprätta och underhålla, är de privata nycklarna till offentligt betrodda rotcertifikat extremt värdefulla och måste skyddas till varje pris. Därför är det mest meningsfullt för certifikatutfärdare att utfärda certifikat för slutenheter till kunder från underordnade certifikat (ibland även kallad mellanliggande certifikat). Dessa undertecknas av rotcertifikatet, som hålls säkert offline, och används för att signera certifikat för slutenheter, till exempel SSL /TLS certifikat för webbservrar. Detta skapar en förtroendekedja att leda tillbaka till root CA, och kompromissen med ett underordnat certifikat, oavsett dåligt det kan vara, leder inte till det katastrofala behovet att återkalla varje certifikat som någonsin utfärdats av root CA. Kodning av detta sunt förnuft svar på situationen, CA / Browser Forum Baslinjekrav förbjuda att utfärda slutföretagscertifikat direkt från root-CA: er och kräver i huvudsak att de hålls offline, vilket kräver användning av underordnade CA: er (även känd som emitterar CA) på internet PKI.
Förutom att hålla rotcertifikatet säkert, utför underordnade certifikatutfärdare administrativa funktioner inom organisationer. Till exempel kan en underordnad CA användas för att signera SSL-certifikat och en annan för kodsignering. När det gäller allmänt internet PKI, några av dessa administrativa separationer är uppdrag av CA / Browser-forumet. I andra fall, som vi vill undersöka närmare här, kan en root CA utfärda en underordnad CA och delegera den till en separat organisation, vilket ger möjlighet att underteckna offentligt betrodda certifikat till den enheten.
Varför du kan behöva en
Det korta svaret är att en värd underordnad CA ger dig största möjliga kontroll över utfärdandet av offentligt betrodda certifikat för slutenheter till en bråkdel av den potentiella kostnaden för att skapa din egen root CA och / eller privata PKI infrastruktur.
Medan a PKI kedjan av förtroende kan innehålla mer än tre certifikat och kan ordnas i komplexa hierarkier, den övergripande principen för rot-, mellan- och slutenhetscertifikat förblir konsekvent: enheter som kontrollerar underordnade CA: er undertecknade av betrodda root-CA: er kan utfärda certifikat som implicit är betrodda av slutanvändares operativsystem och webbläsare. Utan en underordnad CA som finns som en del av en förtroendekedja till en rot CA kan en organisation bara utfärda självsignerade certifikat som måste installeras manuellt av slutanvändare, som också måste fatta sina egna beslut om att lita på certifikatet eller inte, eller bygga en privat PKI infrastruktur (se nedan). Att undvika denna användbarhetshinder och den potentiella baren att lita på, samtidigt som du kan bibehålla möjligheten att utfärda anpassade certifikat efter behov enligt din organisations affärsmål, är ett av de främsta anledningarna till att du kanske vill ha din egen underordnade CA som en del av din organisations PKI plan.
Det finns ett antal andra tvingande skäl att en organisation kan önska sin egen underordnade CA. Några av dessa är:
- Märkescertifikat. Företag som webbhotellföretag kanske vill erbjuda varumärkesinriktad SSL /TLS certifikat till sina kunder. Med ett underordnat CA undertecknat av ett offentligt rotcertifikat kan dessa företag utfärda offentligt betrodda certifikat i sitt eget namn efter eget val utan att behöva upprätta en egen root-CA i webbläsar- och operativsystemets root-butiker eller investera kraftigt i PKI infrastruktur.
- Klientautentisering. Styrning av en underordnad CA ger möjlighet att signera certifikat som kan användas för att autentisera slutanvändares enheter och reglera åtkomst till system. En tillverkare av digitala termostater eller digitalboxar kanske vill utfärda ett certifikat för varje enhet och se till att endast dess enheter kan kommunicera med sina servrar. Med sitt eget underordnade CA har företaget fullständig kontroll över att utfärda och uppdatera certifikat efter behov på de enheter de tillverkar, säljer och / eller tillhandahåller tjänster för. Specifika affärsbehov kan kräva eller dra nytta av att använda offentligt betrodda snarare än privata PKI i denna roll. Till exempel kan en IoT-enhet innehålla en inbyggd webbserver för vilken tillverkaren vill utfärda en unikt identifierbar, offentligt pålitlig SSL /TLS certifikat.
- Anpassning. Med sin egen underordnade CA, och med tanke på att certifikat som är vända mot allmänheten är underkastade CA / Browser Forum Baseline Krav, är en organisation fritt att anpassa och konfigurera sina certifikat och deras livscykel för att tillgodose dess specifika behov.
Privat mot allmänhet PKI
När du bildar en PKI planen måste företag göra val mellan privata och offentliga PKI. I den här artikeln är det viktigast att notera att om en organisation vill utfärda offentligt vända certifikat och förvänta sig att de är implicit tillförlitliga, organisationen måste ha en underordnad CA undertecknad av en offentligt betrodd root CA, eller lyckas få sitt eget självsignerade certifikat betrodda av de olika rotprogrammen. Utan en kedja av förtroende till en rot-CA tvingas slutanvändare att bestämma sitt eget förtroende snarare än att helt enkelt förlita sig på deras operativsystem och webbläsare. Å andra sidan, om allmänhetens förtroende är det inte behövs, en privat PKI infrastruktur frigör en organisation från att behöva följa standarder som reglerar allmänheten PKI. I det här fallet är det möjligt att använda en populär lösning Microsoft Active Directory -certifikattjänster för internt PKI. Se SSL.coms artikel om detta ämne för en mer detaljerad förklaring av offentliga kontra privata PKI.
Inhemskt mot SaaS
När man väger fördelarna med privat kontra offentligt PKI, är det också viktigt för en organisation att överväga de potentiella kostnaderna för bemanning och hårdvara, och inse att de kommer att ansvara för säkerheten för sin egen privata rot och underordnade nycklar. Om allmänhetens förtroende krävs är den ansträngning som krävs för att upprätta och upprätthålla överensstämmelse med OS- och webbläsarens rootprogram betydande så att det är oöverkomligt för många organisationer. värd PKI för båda allmänheten och privata CA: er är nu tillgängliga från flera rotcertifikatmyndigheter (inklusive SSL.com) och kan hjälpa företagskunder att undvika mycket av interna kostnader och ansträngningar PKI. En värd underordnad CA tillåter vanligtvis organisationer att utfärda och hantera livscykeln för certifikat för slutföretag via ett webbaserat gränssnitt och / eller API som erbjuds av värden. värd PKIoffentligt betrodda eller inte, ger också organisationer sinnesro att veta att deras värd PKI anläggningar och processer genomgår regelbundna, grundliga och dyra revisioner och att de kommer att underhållas aktivt och uppdateras när standarder och bästa praxis utvecklas.
Slutsats
Om din organisation behöver utfärda offentligt betrodda certifikat är en värd underordnad CA en kostnadseffektiv och bekväm lösning. Om du anser att en underordnad CA kan vara ett bra alternativ för dig, tveka inte att kontakta oss på support@ssl.com för mer information.
Och som alltid, tack för ditt intresse för SSL.com, där vi tror att ett säkrare internet är ett bättre internet.