CA รองและทำไมคุณอาจต้องการหนึ่ง

CA รองคืออะไร

ในโครงสร้างพื้นฐานกุญแจสาธารณะทางอินเทอร์เน็ต (อินเทอร์เน็ต PKI) ความน่าเชื่อถือของประชาชนในที่สุดจะอยู่ในใบรับรองรูท CA ที่ได้รับการปกป้องโดยหน่วยงานออกใบรับรองเช่น SSL.com. ใบรับรองเหล่านี้สร้างขึ้นในเว็บเบราว์เซอร์ของผู้ใช้ระบบปฏิบัติการและอุปกรณ์และอนุญาตให้ผู้ใช้ทั้งคู่เชื่อถือตัวตนของอินเทอร์เน็ตเซิร์ฟเวอร์และสร้างการสื่อสารที่เข้ารหัสกับพวกเขา (สำหรับข้อมูลเพิ่มเติมดูบทความ SSL.com ของ เบราว์เซอร์และการตรวจสอบใบรับรอง).

เนื่องจากเป็นเทคโนโลยีหลักที่ช่วยให้การสื่อสารบนอินเทอร์เน็ตเชื่อถือได้และปลอดภัยและสร้างและบำรุงรักษาได้ยากและมีราคาแพงคีย์ส่วนตัวของใบรับรองหลักที่เชื่อถือได้แบบสาธารณะจึงมีค่าอย่างยิ่งและต้องได้รับการปกป้องโดยเสียค่าใช้จ่ายทั้งหมด ดังนั้นจึงเหมาะสมที่สุดสำหรับ CA ที่จะออกใบรับรองเอนทิตีปลายทางให้กับลูกค้า ใบรับรองรอง (บางครั้งเรียกว่า ใบรับรองกลาง). สิ่งเหล่านี้ลงนามโดยใบรับรองหลักซึ่งเก็บไว้อย่างปลอดภัยออฟไลน์และใช้เพื่อลงนามใบรับรองเอนทิตีปลายทางเช่น SSL /TLS ใบรับรองสำหรับเว็บเซิร์ฟเวอร์ สิ่งนี้สร้าง ห่วงโซ่ของความไว้วางใจ นำกลับไปที่รูต CA และการประนีประนอมของใบรับรองรอง แต่ไม่ดีที่อาจจะไม่ส่งผลให้เกิดความหายนะที่จำเป็นในการเพิกถอนทุกใบรับรองที่เคยออกโดยรูต CA การประมวลผลการตอบสนองสามัญสำนึกนี้ต่อสถานการณ์คือ CA / เบราว์เซอร์ฟอรัม ข้อกำหนดพื้นฐาน ห้ามการออกใบรับรองเอนทิตีโดยตรงโดยตรงจากรูต CA และจำเป็นอย่างยิ่งที่จะต้องเก็บไว้ออฟไลน์บังคับใช้ CA รอง (เรียกอีกอย่างว่า การออก CA) ในอินเทอร์เน็ต PKI.

นอกเหนือจากการรักษาความปลอดภัยของ root CA แล้ว CA รองยังทำหน้าที่ดูแลระบบภายในองค์กร ตัวอย่างเช่นอาจใช้ CA รองหนึ่งในการลงนามใบรับรอง SSL และอีกรายการหนึ่งสำหรับการลงนามรหัส ในกรณีของอินเทอร์เน็ตสาธารณะ PKIการแยกการดูแลระบบบางส่วนเหล่านี้อยู่ภายใต้บังคับของฟอรัม CA / Browser ในกรณีอื่น ๆ ที่เราต้องการตรวจสอบอย่างละเอียดมากขึ้นที่นี่ root CA อาจออก CA ย่อยและมอบสิทธิ์ให้กับองค์กรแยกต่างหากโดยมอบความสามารถในการลงนามใบรับรองที่เชื่อถือได้แบบสาธารณะให้กับหน่วยงานนั้น

ทำไมคุณอาจต้องการหนึ่ง

คำตอบสั้น ๆ คือ CA รองที่โฮสต์ให้คุณสามารถควบคุมการออกใบรับรองเอนทิตีปลายทางที่เชื่อถือได้แบบสาธารณะโดยมีค่าใช้จ่ายเพียงเล็กน้อยในการสร้าง CA หลักและ / หรือส่วนตัวของคุณเอง PKI โครงสร้างพื้นฐาน

ในขณะที่ PKI สายโซ่แห่งความไว้วางใจอาจมีใบรับรองมากกว่าสามใบและอาจถูกจัดเรียงในลำดับชั้นที่ซับซ้อนหลักการโดยรวมของใบรับรองระดับกลางระดับรากและระดับเอนทิตียังคงสอดคล้องกัน: เอนทิตีที่ควบคุม CA ย่อยที่ลงนามโดย CA หลักที่เชื่อถือได้ โดยระบบปฏิบัติการและเว็บเบราว์เซอร์ของผู้ใช้ปลายทาง หากไม่มี CA รองที่มีอยู่ซึ่งเป็นส่วนหนึ่งของห่วงโซ่ความไว้วางใจให้กับรูท CA องค์กรสามารถออกได้เท่านั้น ลงนามด้วยตนเอง ใบรับรองที่ต้องติดตั้งด้วยตนเองโดยผู้ใช้ปลายทางซึ่งต้องตัดสินใจด้วยตนเองเกี่ยวกับว่าจะเชื่อถือใบรับรองหรือไม่หรือสร้างส่วนตัว PKI โครงสร้างพื้นฐาน (ดูด้านล่าง) การหลีกเลี่ยงอุปสรรคและความเป็นไปได้ในการใช้งานในขณะที่ยังคงความสามารถในการออกใบรับรองแบบกำหนดเองตามเป้าหมายทางธุรกิจขององค์กรของคุณเป็นหนึ่งในสาเหตุหลักที่คุณอาจต้องการ CA รองของคุณเป็นส่วนหนึ่งขององค์กรของคุณ PKI แผนการ

มีหลายเหตุผลที่น่าสนใจอื่น ๆ ที่องค์กรอาจต้องการที่จะได้รับ CA ย่อยของตัวเอง บางส่วนของเหล่านี้คือ:

  • ใบรับรองแบรนด์ องค์กรต่างๆเช่น บริษัท เว็บโฮสติ้งอาจต้องการนำเสนอ SSL / แบบเปิดเผยต่อสาธารณะTLS ใบรับรองให้กับลูกค้า ด้วย CA ย่อยที่ลงนามโดย CA root สาธารณะ บริษัท เหล่านี้สามารถออกใบรับรองที่เชื่อถือได้ต่อสาธารณะในชื่อของตนเองตามความประสงค์โดยไม่ต้องสร้าง root CA ของตนเองในร้านค้ารากของเบราว์เซอร์และระบบปฏิบัติการหรือลงทุนอย่างมากใน PKI โครงสร้างพื้นฐาน
  • การตรวจสอบลูกค้า การควบคุม CA รองช่วยให้สามารถลงนามใบรับรองที่สามารถใช้ในการตรวจสอบสิทธิ์อุปกรณ์ของผู้ใช้ปลายทางและควบคุมการเข้าถึงระบบ ผู้ผลิตเทอร์โมสตัทดิจิทัลหรือกล่องรับสัญญาณอาจต้องการออกใบรับรองสำหรับอุปกรณ์แต่ละเครื่องเพื่อให้แน่ใจว่ามีเพียงอุปกรณ์เท่านั้นที่สื่อสารกับเซิร์ฟเวอร์ได้ ด้วย CA รองของตนเององค์กรสามารถควบคุมการออกและอัปเดตใบรับรองได้อย่างสมบูรณ์ตามความจำเป็นในอุปกรณ์ที่ผลิตขายและ / หรือให้บริการ ความต้องการทางธุรกิจที่เฉพาะเจาะจงอาจต้องการหรือได้รับประโยชน์จากการใช้งานที่เชื่อถือได้สาธารณะแทนที่จะเป็นแบบส่วนตัว PKI ในบทบาทนี้ ตัวอย่างเช่นอุปกรณ์ IoT อาจรวมถึงเว็บเซิร์ฟเวอร์ในตัวซึ่งผู้ผลิตต้องการออก SSL / SSL / ที่เชื่อถือได้ต่อสาธารณะTLS ใบรับรอง
  • การปรับแต่ง ด้วย CA รองของตัวเองและโปรดจำไว้ว่าใบรับรองที่เปิดเผยต่อสาธารณะอยู่ภายใต้ข้อกำหนดพื้นฐานของ CA / เบราว์เซอร์ฟอรัมเบราว์เซอร์องค์กรมีอิสระในการปรับแต่งและกำหนดค่าใบรับรองและวงจรชีวิตของพวกเขาเพื่อตอบสนองความต้องการเฉพาะ

ส่วนตัวเทียบกับสาธารณะ PKI

เมื่อขึ้นรูป PKI แผนธุรกิจจะต้องเลือกระหว่างส่วนตัวและสาธารณะ PKI. สำหรับจุดประสงค์ของบทความนี้เป็นสิ่งสำคัญที่สุดที่จะต้องทราบว่าหากองค์กรต้องการออกใบรับรองสาธารณะและคาดว่าพวกเขาจะเชื่อถือได้โดยปริยายองค์กร ต้อง มี CA รองที่ลงนามโดย root CA ที่เชื่อถือได้แบบสาธารณะหรือจัดการเพื่อรับใบรับรองที่ลงนามด้วยตนเองซึ่งเชื่อถือได้โดยโปรแกรมรูทต่างๆ หากไม่มีห่วงโซ่แห่งความไว้วางใจไปยัง root CA ผู้ใช้ปลายทางจะถูกบังคับให้ตัดสินใจด้วยตนเองแทนที่จะพึ่งพาระบบปฏิบัติการและที่เก็บรูทของเบราว์เซอร์ ในทางกลับกันหากประชาชนเชื่อถือ ไม่ ต้องการส่วนตัว PKI โครงสร้างพื้นฐานปลดปล่อยองค์กรจากความจำเป็นในการปฏิบัติตามมาตรฐานการควบคุมสาธารณะ PKI. ในกรณีนี้มันเป็นไปได้ที่จะอ้างถึงวิธีการแก้ปัญหาที่นิยมใช้ บริการรับรอง Microsoft Active Directory สำหรับในบ้าน PKI. ดู บทความของ SSL.com ในหัวข้อนี้สำหรับคำอธิบายโดยละเอียดเพิ่มเติมเกี่ยวกับสาธารณะและส่วนตัว PKI.

In-House กับ SaaS

เมื่อชั่งน้ำหนักประโยชน์ของส่วนตัวกับสาธารณะ PKIมันเป็นสิ่งสำคัญสำหรับองค์กรที่จะต้องพิจารณาต้นทุนที่อาจเกิดขึ้นของพนักงานและฮาร์ดแวร์และตระหนักว่าพวกเขาจะต้องรับผิดชอบต่อความปลอดภัยของรูทส่วนตัวและคีย์รองของพวกเขาเอง หากจำเป็นต้องมีความไว้วางใจจากสาธารณชนความพยายามที่จำเป็นในการสร้างและรักษาความสอดคล้องกับระบบปฏิบัติการและโปรแกรมรูทของเบราว์เซอร์นั้นมีความสำคัญอย่างยิ่งต่อการที่องค์กรไม่สามารถเอาชนะได้ เจ้าภาพ PKI สำหรับทั้งสาธารณะ และ ไพรเวต CA สามารถใช้งานได้จากหลายผู้ให้บริการออกใบรับรองหลัก SSL.com) และสามารถช่วยให้ลูกค้าองค์กรหลีกเลี่ยงค่าใช้จ่ายและความพยายามภายในองค์กรได้มาก PKI. โดยปกติแล้วโฮสต์รอง CA จะอนุญาตให้องค์กรออกและจัดการวงจรชีวิตของใบรับรองเอนทิตี้ปลายผ่านส่วนต่อประสานบนเว็บและ / หรือ API ที่โฮสต์เสนอให้ เจ้าภาพ PKIได้รับความไว้วางใจจากสาธารณชนหรือไม่นอกจากนี้ยังช่วยให้องค์กรต่างๆอุ่นใจเมื่อทราบว่าโฮสต์ของตน PKI สิ่งอำนวยความสะดวกและกระบวนการได้รับการตรวจสอบอย่างสม่ำเสมอทั่วถึงและมีราคาแพงและพวกเขาจะได้รับการบำรุงรักษาและปรับปรุงอย่างแข็งขันตามมาตรฐานและแนวทางปฏิบัติที่ดีที่สุด

สรุป

หากองค์กรของคุณต้องการความสามารถในการออกใบรับรองที่เชื่อถือได้แบบสาธารณะ CA รองที่โฮสต์ไว้เป็นโซลูชันที่คุ้มค่าและสะดวก หากคุณรู้สึกว่า CA รองอาจเป็นตัวเลือกที่ดีสำหรับคุณโปรดอย่าลังเลที่จะติดต่อเราที่ support@ssl.com สำหรับข้อมูลเพิ่มเติม

และเช่นเคยขอขอบคุณที่ให้ความสนใจ SSL.comที่เราเชื่อว่าอินเทอร์เน็ตที่ปลอดภัยกว่านั้นคืออินเทอร์เน็ตที่ดีกว่า

ทีมสนับสนุน SSL.com

ผู้แต่ง - ผู้ดูแลเนื้อหา
โพสต์ทั้งหมด

บทความที่เกี่ยวข้อง

ดูบทความทั้งหมด
Facebook Youtube Twitter Github

สมัครสมาชิกจดหมายข่าวของ SSL.com

SSL คืออะไร /TLS?

เล่นวีดีโอ

สมัครสมาชิกจดหมายข่าวของ SSL.com

อย่าพลาดบทความและการปรับปรุงใหม่จาก SSL.com

รับทราบข้อมูลและปลอดภัย

SSL.com เป็นผู้นำระดับโลกในด้านความปลอดภัยทางไซเบอร์ PKI และใบรับรองดิจิทัล ลงทะเบียนเพื่อรับข่าวสารอุตสาหกรรม เคล็ดลับ และประกาศผลิตภัณฑ์ล่าสุดจาก SSL.com.

เราชอบความคิดเห็นของคุณ

ทำแบบสำรวจของเราและแจ้งให้เราทราบความคิดเห็นของคุณเกี่ยวกับการซื้อครั้งล่าสุดของคุณ

ทำการสำรวจ