定制品牌的发行CA
您在证书链中的用户名。SSL 底层的受信任根证书。
当 SSL 向您颁发自定义品牌颁发 CA 证书时,您的组织将收到一个由 SSL 公开信任的根证书颁发机构签名的 X.509 中间 CA 证书。颁发 CA 的主题包含您组织的名称,因此您颁发的证书在 CA 字段中显示的是您自己的品牌,而不是 SSL 的品牌。
您的客户和最终用户看到的:
证书颁发机构:贵组织
证书检查器、安全工具和企业信任配置可见的颁发 CA 会显示您组织的名称,而不是 SSL 的名称。
从一开始就赢得公众信任
链接到全球受信任的 SSL 根证书,Chrome、Firefox、Safari、Edge、iOS、Android、Windows 和 macOS 均可立即信任。浏览器不会发出任何警告。
无需 root 分发
SSL 处理根程序成员资格(Mozilla、Microsoft、Apple 等)、持续的根存储维护以及高于您的颁发 CA 的合规义务。
符合CA/B论坛要求
SSL 的根程序合规义务向下传递至您的颁发 CA,所颁发的证书必须符合 CA/B 论坛基线要求。
您作为证书颁发机构 (CA) 出现;SSL 负责维护根证书。您的颁发 CA 颁发的每个证书都受到所有主流浏览器和操作系统的信任,无需您进行任何根证书分发工作。
主要优点
这个是谁的?
定制品牌发行 CA 非常适合:
- 技术合作伙伴和经销商 那些以自有品牌向最终客户颁发 SSL 证书的机构——您的客户看到的是您的 CA 名称,而不是 SSL 的名称。
- SaaS 和平台提供商 需要发布 TLS 或在其平台内使用其自有品牌颁发的客户证书
- 企业 对于有很强的面向公众的 CA 身份要求,且需要在公共证书链中拥有自己名称,但又不想承担根证书程序额外开销的用户来说,这些 CA 非常适用。
- 组织构建合作伙伴证书项目 其中,合作伙伴颁发的证书需要链接到全球可信的根证书。
请求定制品牌 CA 信息
请联系我们 PKI 我们将安排专家与您探讨定制品牌证书颁发机构 (CA) 的需求。我们的团队将协助您设计一套能够体现贵公司品牌形象、满足您的技术规范并与您现有的证书生命周期管理基础架构无缝集成的 CA 解决方案。
重要限制
参与是如何运作的
合规与标准
CA/B论坛基线要求
您的颁发 CA 下颁发的所有证书必须符合 CA/B 论坛基线要求,并通过 SSL 的 CP/CPS 强制执行。
用于CA的WebTrust
SSL 的根操作受 WebTrust 年度审核的约束;您的颁发 CA 继承了这种合规性。
RFC 5280 (X.509)
FIPS 140-2 3级硬件安全模块
您的颁发 CA 私钥存储在 SSL 基础设施下的 FIPS 认证硬件中。
常见问题
最终用户在查看证书时,会看到贵组织的名称作为颁发 CA。SSL 控制的根 CA 会出现在完整的证书链中,但大多数用户和工具可见的颁发 CA 将带有贵组织的名称。
是的,因为颁发证书的 CA 链与 SSL 的公信根证书相连,所以所有证书颁发都必须符合 CA/B 论坛的基线要求。SSL 的审计义务和 CP/CPS 约束也适用于您的颁发证书的 CA。这就是定制品牌颁发证书的 CA(公信、受基线约束)与专用私有证书颁发 CA 之间的根本区别。 PKI (非公众信任,政策具有完全灵活性)。
证书类型必须符合 CA/B 论坛的要求。 TLSSSL证书是主要应用场景。请联系SSL部门,讨论适用于您具体应用场景的配置文件和EKU(扩展证书单元)。
不,因为此颁发 CA 链接到公共信任的根 CA,所以它无法为违反 BR 要求的私有命名空间或仅限内部使用的标识符颁发证书。有关此用例,请参阅托管 CA。 PKI 证书或专用 PKI.
由于信任链依赖于 SSL 的根证书,任何对 SSL 根证书的不信任都会影响您的颁发 CA 颁发的证书。SSL 完全遵守所有主要的根证书保护计划,以防范此类风险。
准备好将您的名字添加到证书链中了吗?
相关产品
私人合规 PKI
需要您自己的根 CA + WebTrust 审计覆盖范围,以及完整的层级所有权。
私人企业 PKI
需要您自己的根证书颁发机构供内部使用,不受公共信任限制。
