Alt CA nedir?
İnternette ortak anahtar altyapısı (İnternet PKI), halkın güveni eninde sonunda sertifika yetkilileri tarafından korunan kök CA sertifikalarında bulunur. SSL.com. Bu sertifikalar, son kullanıcıların web tarayıcıları, işletim sistemleri ve cihazlarında yerleşiktir ve kullanıcıların hem İnternet sunucularının kimliklerine güvenmelerine hem de onlarla şifreli iletişim kurmalarına olanak tanır (daha ayrıntılı bilgi için, SSL.com'un Tarayıcılar ve Sertifika Doğrulaması).
İnternette güvenilir ve güvenli iletişimi sağlayan birincil teknoloji oldukları ve kurulması ve sürdürülmesi zor ve pahalı olduğu için, genel olarak güvenilen kök sertifikaların özel anahtarları son derece değerlidir ve her ne pahasına olursa olsun korunmaları gerekir. Bu nedenle, CA'ların müşterilere son varlık sertifikaları vermesi en mantıklıdır. alt sertifikalar (bazen aynı zamanda ara sertifikalar). Bunlar, güvenli bir şekilde çevrimdışı tutulan ve SSL / gibi son varlık sertifikalarını imzalamak için kullanılan kök sertifika tarafından imzalanır.TLS web sunucuları için sertifikalar. Bu bir güven zinciri Kök CA'ya geri dönme ve bağımlı bir sertifikanın güvenliği, ancak kötü olabilir, ancak kök CA tarafından verilen her sertifikayı iptal etme ihtiyacına yol açmaz. Duruma verilen bu sağduyulu yanıtı kodlayan CA / Tarayıcı Forumu Temel Gereksinimler son varlık sertifikalarının doğrudan kök CA'lardan verilmesini yasaklar ve temel olarak çevrimdışı tutulmalarını gerektirir ve alt CA'ların (olarak da bilinir) kullanılmasını zorunlu kılar CA'lar düzenleme) internette PKI.
Alt CA'lar, kök CA'yı güvenli tutmanın yanı sıra, kuruluşlar içinde yönetim işlevleri de gerçekleştirir. Örneğin, bir alt CA, SSL sertifikalarını imzalamak için ve diğeri kod imzalamak için kullanılabilir. Halka açık İnternet durumunda PKI, bu idari ayrımlardan bazıları CA / Tarayıcı forumu tarafından zorunlu kılınmıştır. Burada daha yakından incelemek istediğimiz diğer durumlarda, bir kök CA bir alt CA düzenleyebilir ve onu ayrı bir kuruluşa devredebilir ve bu kuruluşa genel olarak güvenilen sertifikaları imzalama yetkisi verebilir.
Neden Birine İhtiyacınız Olabilir
Kısa yanıt, barındırılan bir alt CA'nın size, kendi kök CA'nızı kurmanın potansiyel maliyetinin çok altında ve / veya özel olarak, herkese açık olarak güvenilen son varlık sertifikalarının verilmesi üzerinde mümkün olan en büyük kontrolü sağlamasıdır. PKI altyapı.
Bir süre PKI güven zinciri üçten fazla sertifika içerebilir ve karmaşık hiyerarşiler halinde düzenlenebilir, kök, ara ve son varlık sertifikalarının genel ilkesi tutarlı kalır: güvenilen kök CA'lar tarafından imzalanan alt CA'ları denetleyen varlıklar dolaylı olarak güvenilen sertifikalar verebilir Son kullanıcıların işletim sistemleri ve web tarayıcıları tarafından. Kök CA'ya güven zincirinin bir parçası olarak bulunan bir alt CA olmadan, bir kuruluş yalnızca Kendinden imzalı son kullanıcılar tarafından el ile yüklenmesi gereken, sertifikaya güvenip güvenmeyecekleri veya özel bir yapı oluşturacakları konusunda kendi kararlarını vermeleri gereken sertifikalar PKI altyapısı (aşağıya bakınız). Kuruluşunuzun iş hedeflerine göre özel sertifikalar verme yeteneğini korurken, bu kullanılabilirlik engelinden ve güvenme potansiyel çubuğundan kaçınmak, kuruluşunuzun bir parçası olarak kendi alt CA'nızı istemenizin başlıca nedenlerinden biridir. PKI planı.
Bir kuruluşun kendi alt CA'sını edinmek isteyebileceği başka birçok zorlayıcı neden vardır. Bunlardan birkaçı:
- Markalı Sertifikalar. Web barındırma şirketleri gibi işletmeler, markalı halka açık SSL /TLS müşterilerine sertifikaları. Bir genel kök CA tarafından imzalanmış bir bağımlı CA ile, bu şirketler, tarayıcı ve işletim sistemi kök depolarında kendi kök CA'larını kurmak veya yoğun bir şekilde yatırım yapmak zorunda kalmadan, kendi adlarına halka açık olarak güvenilen sertifikalar verebilirler. PKI altyapı.
- İstemci Kimlik Doğrulaması. Bağımlı bir CA'yı kontrol etmek, son kullanıcıların cihazlarını doğrulamak ve sistemlere erişimi düzenlemek için kullanılabilen sertifikaları imzalama yeteneği sağlar. Bir dijital termostat veya set üstü kutu üreticisi, her cihaz için bir sertifika yayınlayarak yalnızca cihazlarının sunucularıyla iletişim kurmasını sağlayabilir. Kendi alt CA'sı ile kuruluş, ürettikleri, sattıkları ve / veya hizmetlerini sağladıkları cihazlarda gerektiğinde sertifika verme ve güncelleme konusunda tam kontrole sahiptir. Özel iş ihtiyaçları, özel yerine kamuya açık güvenilen kullanımı gerektirebilir veya bunlardan fayda sağlayabilir PKI bu rolde. Örneğin, bir IoT cihazı, üreticinin benzersiz bir şekilde tanımlanabilir, kamuya açık olarak güvenilen bir SSL / SSL yayınlamak istediği yerleşik bir web sunucusu içerebilir.TLS belgesi.
- Özelleştirme. Kendi alt CA'sı olan ve herkese açık sertifikaların CA / Tarayıcı Forumu Temel Gereksinimlerine tabi olduğunu akılda tutarak bir kuruluş, sertifikalarını ve yaşam döngüsünü özel ihtiyaçlarını karşılamak üzere özelleştirmek ve yapılandırmakta serbesttir.
Özel ve Herkese Açık PKI
Bir PKI planlar, işletmeler özel ve kamu arasında seçim yapmak zorundadır PKI. Bu makalenin amaçları açısından, eğer bir kuruluş halka açık sertifikalar vermek istiyorsa ve bu belgelerin dolaylı olarak güvenilir olmasını beklerse, kuruluşun şart genel olarak güvenilen bir kök CA tarafından imzalanmış bir alt CA'ya sahip olmak veya çeşitli kök programlar tarafından güvenilen kendi kendinden imzalı sertifikalarını almayı yönetmek. Bir kök CA'ya güven zinciri olmadan, son kullanıcılar yalnızca işletim sistemlerine ve tarayıcı kök depolarına güvenmek yerine kendi güven kararlarını vermeye zorlanırlar. Öte yandan, halkın güveni ise değil gerekli, özel PKI Altyapı bir kuruluşu kamu düzenleyen standartlara uymaktan kurtarır PKI. Bu durumda, popüler bir çözüm belirtmek, kullanmak mümkündür. Microsoft Active Directory Sertifika Hizmetleri şirket içi için PKI. Görmek SSL.com'un makalesi kamu ve özel sektör hakkında daha ayrıntılı bir açıklama için bu konuyla ilgili PKI.
Kurum İçi ve SaaS
Özel ve kamu yararlarını değerlendirirken PKI, bir kuruluşun potansiyel personel ve donanım maliyetini dikkate alması ve kendi özel kök ve alt anahtarlarının güvenliğinden sorumlu olacağını fark etmesi de önemlidir. Halkın güveni gerekiyorsa, işletim sistemi ve tarayıcı kök programlarına uyumu sağlamak ve sürdürmek için gereken çaba, birçok kuruluş için aşılamaz olma noktasına kadar kayda değerdir. Barındırma PKI her iki halk için ve özel CA'lar artık birden çok kök sertifika yetkilisinden ( SSL.com) ve kurumsal müşterilerin kurum içi masraf ve çabaların çoğundan kaçınmasına yardımcı olabilir PKI. Barındırılan bir alt CA genellikle kuruluşların, web sunucusu arabirimi ve / veya ana bilgisayar tarafından sunulan API aracılığıyla son varlık sertifikalarının yaşam döngüsünü düzenlemesine ve yönetmesine izin verir. Barındırma PKIhalka açık olsun ya da olmasın, kuruluşlara ev sahiplerinin PKI tesisler ve süreçler düzenli, kapsamlı ve pahalı denetimlerden geçmekte ve standartlar ve en iyi uygulamalar geliştikçe aktif olarak sürdürülecek ve güncelleneceklerdir.
Sonuç
Kuruluşunuzun genel olarak güvenilen sertifikaları verme yeteneğine ihtiyacı varsa, barındırılan bir alt CA, uygun maliyetli ve kullanışlı bir çözümdür. Bir ikincil CA'nın sizin için iyi bir seçenek olabileceğini düşünüyorsanız, lütfen şu adresten bizimle iletişime geçmekten çekinmeyin: support@ssl.com daha fazla bilgi için.
Ve her zaman olduğu gibi, SSL.comdaha güvenli bir İnternet'in daha iyi bir İnternet olduğuna inanıyoruz.
