ไอคอนไซต์ SSL.com

CA รองและทำไมคุณอาจต้องการหนึ่ง

ทีมสนับสนุน SSL.com

CA รองคืออะไร

ในโครงสร้างพื้นฐานกุญแจสาธารณะทางอินเทอร์เน็ต (อินเทอร์เน็ต PKI) ความน่าเชื่อถือของประชาชนในที่สุดจะอยู่ในใบรับรองรูท CA ที่ได้รับการปกป้องโดยหน่วยงานออกใบรับรองเช่น SSL.com. ใบรับรองเหล่านี้สร้างขึ้นในเว็บเบราว์เซอร์ของผู้ใช้ระบบปฏิบัติการและอุปกรณ์และอนุญาตให้ผู้ใช้ทั้งคู่เชื่อถือตัวตนของอินเทอร์เน็ตเซิร์ฟเวอร์และสร้างการสื่อสารที่เข้ารหัสกับพวกเขา (สำหรับข้อมูลเพิ่มเติมดูบทความ SSL.com ของ เบราว์เซอร์และการตรวจสอบใบรับรอง).

เนื่องจากเป็นเทคโนโลยีหลักที่ช่วยให้การสื่อสารบนอินเทอร์เน็ตเชื่อถือได้และปลอดภัยและสร้างและบำรุงรักษาได้ยากและมีราคาแพงคีย์ส่วนตัวของใบรับรองหลักที่เชื่อถือได้แบบสาธารณะจึงมีค่าอย่างยิ่งและต้องได้รับการปกป้องโดยเสียค่าใช้จ่ายทั้งหมด ดังนั้นจึงเหมาะสมที่สุดสำหรับ CA ที่จะออกใบรับรองเอนทิตีปลายทางให้กับลูกค้า ใบรับรองรอง (บางครั้งเรียกว่า ใบรับรองกลาง). สิ่งเหล่านี้ลงนามโดยใบรับรองหลักซึ่งเก็บไว้อย่างปลอดภัยออฟไลน์และใช้เพื่อลงนามใบรับรองเอนทิตีปลายทางเช่น SSL /TLS ใบรับรองสำหรับเว็บเซิร์ฟเวอร์ สิ่งนี้สร้าง ห่วงโซ่ของความไว้วางใจ นำกลับไปที่รูต CA และการประนีประนอมของใบรับรองรอง แต่ไม่ดีที่อาจจะไม่ส่งผลให้เกิดความหายนะที่จำเป็นในการเพิกถอนทุกใบรับรองที่เคยออกโดยรูต CA การประมวลผลการตอบสนองสามัญสำนึกนี้ต่อสถานการณ์คือ CA / เบราว์เซอร์ฟอรัม ข้อกำหนดพื้นฐาน ห้ามการออกใบรับรองเอนทิตีโดยตรงโดยตรงจากรูต CA และจำเป็นอย่างยิ่งที่จะต้องเก็บไว้ออฟไลน์บังคับใช้ CA รอง (เรียกอีกอย่างว่า การออก CA) ในอินเทอร์เน็ต PKI.

นอกเหนือจากการรักษาความปลอดภัยของ root CA แล้ว CA รองยังทำหน้าที่ดูแลระบบภายในองค์กร ตัวอย่างเช่นอาจใช้ CA รองหนึ่งในการลงนามใบรับรอง SSL และอีกรายการหนึ่งสำหรับการลงนามรหัส ในกรณีของอินเทอร์เน็ตสาธารณะ PKIการแยกการดูแลระบบบางส่วนเหล่านี้อยู่ภายใต้บังคับของฟอรัม CA / Browser ในกรณีอื่น ๆ ที่เราต้องการตรวจสอบอย่างละเอียดมากขึ้นที่นี่ root CA อาจออก CA ย่อยและมอบสิทธิ์ให้กับองค์กรแยกต่างหากโดยมอบความสามารถในการลงนามใบรับรองที่เชื่อถือได้แบบสาธารณะให้กับหน่วยงานนั้น

ทำไมคุณอาจต้องการหนึ่ง

คำตอบสั้น ๆ คือ CA รองที่โฮสต์ให้คุณสามารถควบคุมการออกใบรับรองเอนทิตีปลายทางที่เชื่อถือได้แบบสาธารณะโดยมีค่าใช้จ่ายเพียงเล็กน้อยในการสร้าง CA หลักและ / หรือส่วนตัวของคุณเอง PKI โครงสร้างพื้นฐาน

ในขณะที่ PKI สายโซ่แห่งความไว้วางใจอาจมีใบรับรองมากกว่าสามใบและอาจถูกจัดเรียงในลำดับชั้นที่ซับซ้อนหลักการโดยรวมของใบรับรองระดับกลางระดับรากและระดับเอนทิตียังคงสอดคล้องกัน: เอนทิตีที่ควบคุม CA ย่อยที่ลงนามโดย CA หลักที่เชื่อถือได้ โดยระบบปฏิบัติการและเว็บเบราว์เซอร์ของผู้ใช้ปลายทาง หากไม่มี CA รองที่มีอยู่ซึ่งเป็นส่วนหนึ่งของห่วงโซ่ความไว้วางใจให้กับรูท CA องค์กรสามารถออกได้เท่านั้น ลงนามด้วยตนเอง ใบรับรองที่ต้องติดตั้งด้วยตนเองโดยผู้ใช้ปลายทางซึ่งต้องตัดสินใจด้วยตนเองเกี่ยวกับว่าจะเชื่อถือใบรับรองหรือไม่หรือสร้างส่วนตัว PKI โครงสร้างพื้นฐาน (ดูด้านล่าง) การหลีกเลี่ยงอุปสรรคและความเป็นไปได้ในการใช้งานในขณะที่ยังคงความสามารถในการออกใบรับรองแบบกำหนดเองตามเป้าหมายทางธุรกิจขององค์กรของคุณเป็นหนึ่งในสาเหตุหลักที่คุณอาจต้องการ CA รองของคุณเป็นส่วนหนึ่งขององค์กรของคุณ PKI แผนการ

มีหลายเหตุผลที่น่าสนใจอื่น ๆ ที่องค์กรอาจต้องการที่จะได้รับ CA ย่อยของตัวเอง บางส่วนของเหล่านี้คือ:

ส่วนตัวเทียบกับสาธารณะ PKI

เมื่อขึ้นรูป PKI แผนธุรกิจจะต้องเลือกระหว่างส่วนตัวและสาธารณะ PKI. สำหรับจุดประสงค์ของบทความนี้เป็นสิ่งสำคัญที่สุดที่จะต้องทราบว่าหากองค์กรต้องการออกใบรับรองสาธารณะและคาดว่าพวกเขาจะเชื่อถือได้โดยปริยายองค์กร ต้อง มี CA รองที่ลงนามโดย root CA ที่เชื่อถือได้แบบสาธารณะหรือจัดการเพื่อรับใบรับรองที่ลงนามด้วยตนเองซึ่งเชื่อถือได้โดยโปรแกรมรูทต่างๆ หากไม่มีห่วงโซ่แห่งความไว้วางใจไปยัง root CA ผู้ใช้ปลายทางจะถูกบังคับให้ตัดสินใจด้วยตนเองแทนที่จะพึ่งพาระบบปฏิบัติการและที่เก็บรูทของเบราว์เซอร์ ในทางกลับกันหากประชาชนเชื่อถือ ไม่ ต้องการส่วนตัว PKI โครงสร้างพื้นฐานปลดปล่อยองค์กรจากความจำเป็นในการปฏิบัติตามมาตรฐานการควบคุมสาธารณะ PKI. ในกรณีนี้มันเป็นไปได้ที่จะอ้างถึงวิธีการแก้ปัญหาที่นิยมใช้ บริการรับรอง Microsoft Active Directory สำหรับในบ้าน PKI. ดู บทความของ SSL.com ในหัวข้อนี้สำหรับคำอธิบายโดยละเอียดเพิ่มเติมเกี่ยวกับสาธารณะและส่วนตัว PKI.

In-House กับ SaaS

เมื่อชั่งน้ำหนักประโยชน์ของส่วนตัวกับสาธารณะ PKIมันเป็นสิ่งสำคัญสำหรับองค์กรที่จะต้องพิจารณาต้นทุนที่อาจเกิดขึ้นของพนักงานและฮาร์ดแวร์และตระหนักว่าพวกเขาจะต้องรับผิดชอบต่อความปลอดภัยของรูทส่วนตัวและคีย์รองของพวกเขาเอง หากจำเป็นต้องมีความไว้วางใจจากสาธารณชนความพยายามที่จำเป็นในการสร้างและรักษาความสอดคล้องกับระบบปฏิบัติการและโปรแกรมรูทของเบราว์เซอร์นั้นมีความสำคัญอย่างยิ่งต่อการที่องค์กรไม่สามารถเอาชนะได้ เจ้าภาพ PKI สำหรับทั้งสาธารณะ และ ไพรเวต CA สามารถใช้งานได้จากหลายผู้ให้บริการออกใบรับรองหลัก SSL.com) และสามารถช่วยให้ลูกค้าองค์กรหลีกเลี่ยงค่าใช้จ่ายและความพยายามภายในองค์กรได้มาก PKI. โดยปกติแล้วโฮสต์รอง CA จะอนุญาตให้องค์กรออกและจัดการวงจรชีวิตของใบรับรองเอนทิตี้ปลายผ่านส่วนต่อประสานบนเว็บและ / หรือ API ที่โฮสต์เสนอให้ เจ้าภาพ PKIได้รับความไว้วางใจจากสาธารณชนหรือไม่นอกจากนี้ยังช่วยให้องค์กรต่างๆอุ่นใจเมื่อทราบว่าโฮสต์ของตน PKI สิ่งอำนวยความสะดวกและกระบวนการได้รับการตรวจสอบอย่างสม่ำเสมอทั่วถึงและมีราคาแพงและพวกเขาจะได้รับการบำรุงรักษาและปรับปรุงอย่างแข็งขันตามมาตรฐานและแนวทางปฏิบัติที่ดีที่สุด

สรุป

หากองค์กรของคุณต้องการความสามารถในการออกใบรับรองที่เชื่อถือได้แบบสาธารณะ CA รองที่โฮสต์ไว้เป็นโซลูชันที่คุ้มค่าและสะดวก หากคุณรู้สึกว่า CA รองอาจเป็นตัวเลือกที่ดีสำหรับคุณโปรดอย่าลังเลที่จะติดต่อเราที่ support@ssl.com สำหรับข้อมูลเพิ่มเติม

และเช่นเคยขอขอบคุณที่ให้ความสนใจ SSL.comที่เราเชื่อว่าอินเทอร์เน็ตที่ปลอดภัยกว่านั้นคืออินเทอร์เน็ตที่ดีกว่า

ออกจากเวอร์ชันมือถือ