托管 PKI 科瑞证书

高可靠性,经 WebTrust 审计 PKI ——无需基础设施开销

托管 PKI Certificates 是一个完全托管的云证书平台,适用于用户、设备、工作负载和服务。它专为受监管和高合规性环境而构建,提供经 WebTrust 审计的私有证书,并可满足 SOC2、HIPAA 和供应链要求的审计传递,以共享服务订阅的形式交付。 没有可供运行的 CA 基础设施。

申请早期访问 查看价格等级

哪些是受管理的? PKI 证书?

托管 PKI 科瑞证书 是由托管的云平台颁发的数字身份,该平台利用…… 高度安全的多租户架构该产品受连续性因素的独特控制。 WebTrust 审计为客户提供共享的高可靠性基础设施,该基础设施对证书颁发、策略执行和生命周期自动化保持严格的逻辑隔离。

关键价值主张

安全设计

安全设计:通过 FIPS 140-2 3 级 HSM 实现基于硬件的共享信任,通过基于模板的颁发实现强大的策略执行,以及用于合规性证据的防篡改审计跟踪。

操作高效

通过自动化注册、续订和轮换,以及为您的生态系统提供的开箱即用的集成,提高运营效率:Active Directory、Kubernetes、MDM 平台和 SIEM 系统。

合规与治理

通过映射控制和记录程序,实现合规性和治理,符合 SOC 2、HIPAA、PCI DSS、ISO 27001 和 NIST SP 800-53 框架,这些都是审计人员通常要求的。

企业规模

企业级规模,具备高可用性和地理弹性,可面向全球客户群批量发行证书:每个产品周期可发行数百万单位的证书,发行速度低于一秒。

核心能力: 由独立于 CA/浏览器论坛之外的专用私有信任根颁发。符合 WebTrust 标准的颁发流程,并遵循与公共根相同的审计标准。支持 SCEP、EST、ACME 和 REST API 注册。所有密钥均由 HSM 提供支持,并符合 FIPS 140-2/3 标准。提供高可用性 OCSP 和 CRL,用于实时验证。

主要优点

信任的根源

继承 SSL 的 WebTrust 审计证据 PKI无需建立或资助您自己的审计程序。

符合 WebTrust 标准

合作伙伴、监管机构和客户可以检查贵公司 CA 的经审计治理情况,而不仅仅是其证书。

HSM支持的安全性

ACME、SCEP、EST、REST API 注册,专为 DevSecOps、Kubernetes、MDM 和工厂车间发放而构建。

命名空间保护

所有 CA 私钥均在经过认证的硬件中生成和存储,绝不会以明文形式导出。

自动注册

生态系统/物联网层提供混合后量子配置文件(ML-KEM、ML-DSA、SLH-DSA)。

验证服务

公信证书使用相同的 API,无需单独集成。

弹性计费

证书清单、到期预测、不可篡改的审计日志、SIEM/SOAR 集成。

申请早期访问

加入早期体验计划,即可开始使用托管服务 PKI 获得证书,锁定首发价格,并参与制定产品路线图。请注明您的级别和主要使用场景——专业版和企业版账户现已开放注册;生态系统/物联网账户可按需申请。

常见用例

高可靠性物联网和设备身份

为安全启动、固件更新和相互通信提供高保障的物联网和设备身份识别 TLS 在工业物联网、医疗设备、汽车系统和关键基础设施等领域。

供应链信托

供应链信任:为 B2B 生态系统中的第三方入驻、合作伙伴外部网和供应商认证提供加密信任证明。

法律合规

监管合规性:通过具备审计就绪证书基础架构和已记录的控制措施,满足 SOC 2 II 型、HIPAA 安全规则、GDPR 第 32 条和 PCI DSS v4 要求。

零信任架构

零信任架构:通过审计治理保障机器间通信安全。每个工作负载、服务和设备在连接时都会获得经过加密验证的身份。

PQC过渡

PQC 过渡:在 NIST PQC 强制要求成为生产要求之前,测试抗量子证书配置文件(ML-KEM、ML-DSA、SLH-DSA),以使内部系统面向未来。

平台架构

1
开始课程
SSL 会为您的租户提供配置,审核并预留您的私有命名空间,并为您的团队配置基于角色的访问控制 (RBAC)。
2
整合
配置您的 ACME 客户端、MDM、Kubernetes 证书管理器或 REST API 集成,以使用您的 SSL 租户端点。
3
颁发证书
您的注册系统请求证书,SSL 平台根据您的命名空间策略进行验证并颁发证书。
4
生命周期管理
续期、重新配钥和撤销操作均可自动或通过 API 处理,库存和到期提醒功能可让您提前掌握到期情况。
5
合规
访问 SSL 的 WebTrust 审计报告,以满足 SOC2、HIPAA 或行业特定要求。

合规与标准

用于CA的WebTrust

SSL专用 PKI 运营活动与我们的公共信任平台一样,均受 WebTrust 审计的约束。

FIPS 140-2 3级

FIPS 140-2 3 级:所有 CA 根密钥和中间密钥均在经过认证的 HSM 中生成和存储,绝不能以明文形式导出:这是联邦采购要求的保护级别。

RFC 5280 (X.509)

所有证书均符合 X.509 v3 / RFC 5280 结构:与所有……兼容 PKI-目前生产环境中使用的功能强大的操作系统、设备和应用程序。

ACME RFC 8555

原生支持 ACME v2 (RFC 8555) 的自动化证书生命周期管理:可与 cert-manager、Caddy、Traefik、Certbot 以及所有标准 ACME 客户端开箱即用。

SCEP / EST

SCEP(简单证书注册协议)和 EST(通过安全传输进行注册,RFC 7030)支持 MDM 平台、网络设备注册和移动证书配置。

NIST PQC 标准

NIST 后量子密码学标准:ML-KEM(密钥封装)、ML-DSA(数字签名)和 SLH-DSA(无状态哈希签名)混合配置文件可在生态系统层使用。

服务等级

抢先体验期间的价格仅供参考——加入候补名单即可锁定正式发售价格。

专业

可根据要求提供定价
  • 内部 mTLSVPN,基线合规性
  • 最多可拥有 500 万个有效证书
  • WebTrust 审计传递
  • HSM支持的签名密钥
  • SCEP、EST、ACME、REST API
  • 命名空间验证

企业版

可根据要求提供定价
  • 自动化环境(Kubernetes、MDM、Intune)
  • 最多可拥有 5,000 万个有效证书
  • 包括混合 PQC(后量子时代)准备情况
  • 降低每份证书的实际成本
  • 较低的单次认证超额率
  • 一切尽在专业

生态系统/物联网

可根据要求提供定价
  • 大批量设备“出生证明”
  • 最多可拥有 100,000 万个有效证书
  • 高吞吐量API
  • 设备元数据的自定义 OID
  • 最佳摊销
  • 企业中的一切

订阅逻辑及权益

  • 主动库存计费。 定价基于并发的“活跃”证书数量,而不是总颁发数量,从而支持证书频繁轮换的高速 DevOps 工作流程。 有效债券 = 已发行债券总数 − (已过期债券 + 已撤销债券)。
  • 审计继承。 您的订阅包含访问 SSL.com 的 WebTrust for CA 审计报告的权限,使您能够通过我们经过审计的数据中心和流程的合规性来满足 SOC2、HIPAA 或特定行业要求。
  • 命名空间验证。 每个层级都包含严格的审查和私有命名空间预留(例如, *.internal.yourcompany.com)以确保您的身份是唯一的,并避免与其他租户的身份重叠。
  • 基于 HSM 的安全机制。 所有私钥均在 FIPS 140-2 3 级硬件安全模块中生成和存储——这是高可靠性用例的核心要求。

常见问题

托管 PKI Certificates 目前处于抢先体验阶段。加入候补名单即可获得优先入驻、参与产品路线图制定以及锁定首发价格。专业版和企业版账户现已开放注册;生态系统/物联网账户可根据需求申请。

在这种共享环境中,您可以利用不同客户共享的高可靠性基础设施来降低运营成本。这使您具备“审计传递”能力,通过继承提供商经过认证的严格运营流程来满足 SOC2 要求。

这种经过审计的状态确保您的私有证书通过审计员见证的密钥仪式和防篡改日志提供治理的书面证明——这对于保障供应链安全和确保数字签名的合法不可否认性至关重要。

我们采用弹性库存模型: 有效持卡人数量 = 已发行持卡人总数 − (已过期持卡人数量 + 已撤销持卡人数量您只需为当前环境中有效且可用的功能付费。

用于签署证书的所有密钥都存储在 FIPS 140-2 3级硬件安全模块(HSM)虽然物理硬件可以共享,但密钥会根据客户进行加密隔离,并受到严格的基于角色的访问控制 (RBAC) 和双重控制要求的保护。

提供三种订阅级别(专业版、企业版、生态系统/物联网版),分别包含 500、5,000 和 100,000 个有效证书。产品处于早期访问阶段,价格仅供参考,可能会有所变动。随着订阅级别的提升,每个证书的实际成本降低,每个证书的超额费用也随之降低——因此,接近阈值的客户在高订阅级别下可以获得更低的超额费用。

托管 PKI 证书是一项共享的多租户服务——您不拥有根 CA,该平台完全由 SSL.com 运营。私有企业 PKI 以及私人合规 PKI 为您提供完全专用的 CA 层级结构,包括您自己的根 CA。选择托管式 PKI 当您需要 WebTrust 审计传递且不想承担 CA 基础设施开销时,请选择证书;当您需要自己的根 CA 或完全自助式 CA 控制时,请选择专用产品。

准备开始使用托管服务 PKI 证书?

加入抢先体验计划——享受优先入职、参与产品路线图规划以及锁定首发价格。无需任何承诺。

相关产品

私人合规 PKI

私人合规 PKI需要专门的根证书颁发机构 (Root CA) 和 WebTrust 审计。通过监管机构认可的审计证据,确保符合 SOC 2、HIPAA 和行业特定项目的要求,从而掌控您的证书层级结构。
了解更多

私人企业 PKI

需要一个专用于内部使用的根证书颁发机构,无需承担审计负担。

了解更多

定制品牌的发行CA

定制品牌证书颁发机构:需要带有您品牌名称的公开可信证书。您的组织将作为颁发者出现,同时继承 SSL.com 全球可信的根证书。
了解更多
SSL.com

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。

参加调查
隐私概述
SSL.com

本网站使用Cookie,以便我们可以为您提供最佳的用户体验。 Cookie信息存储在您的浏览器中,并执行诸如在您返回我们的网站时识别您的身份以及帮助我​​们的团队了解您发现网站中最有趣和有用的部分之类的功能。

欲了解更多信息,请阅读我们的 Cookie和隐私声明.

3rd方Cookie

本网站使用 Google Analytics & 统计计数器 收集匿名信息,例如网站的访问者数量和最受欢迎的页面。

保持启用这些Cookie有助于我们改善网站。

查看详细
专利所有者  GDPR Cookie遵从性