私人企业 PKI
专用 CA 基础设施。由您自行配置。完全由您控制。
私人企业 PKI 提供与 Private Compliance 相同的底层平台 PKI — 相同的符合 FIPS 标准的 HSM 基础设施、相同的统一 REST API、相同的注册协议和相同的可观测性功能 — 而无需 WebTrust 合规性计划及其相关的密钥仪式审计要求。
这是一个自助式产品。 您登录后,配置您自己的根 CA 和颁发 CA,选择适用于您层次结构的用例,并管理您的 CA。 PKI SSL.com 提供端到端服务。它会为您选择的每个用例提供所需的所有证书配置文件——您无需自行构建或配置配置文件。SSL.com 负责底层 HSM 基础架构和 OCSP/CRL 发布;除此之外的所有内容——CA 层级结构、用例选择、集成——均由您的团队控制。
你得到什么:
您自己的根 CA
专用的 CA 层级结构,您的根 CA 和颁发 CA 不会与其他任何组织共享。
HSM支持的CA密钥
CA 密钥生成并存储在通过 FIPS 140-2 3 级认证的硬件安全模块中,绝不会以明文形式导出。
完整证书生命周期
通过 ACME、SCEP、EST 和 REST API 进行签发、续期、重新密钥、展期和撤销。专为 Kubernetes、MDM 和 DevOps 流水线而构建。
自定义证书配置文件
为您的内部使用场景定义配置文件: TLS客户端身份验证、代码签名、设备身份。
与私人合规有何不同 PKI: WebTrust 不提供独立审计服务,没有审计员见证的密钥授予仪式,信任范围仅限内部,颁发的证书不适用于供应链或合作伙伴生态系统合规性声明。成本较低。
主要优点
谁私营企业 PKI 是
私人企业 PKI 在以下情况下是正确的选择:
- 您的使用案例是 仅限内部使用 你无需证明你的 PKI 对外部合作伙伴、监管机构或客户的治理
- 你需要一个 专用 CA 层级 ——并非共享平台——出于政策、命名或组织方面的原因
- 您正在运行 内部 mTLSVPN/Wi-Fi 身份验证、内部设备身份或开发人员/测试证书基础架构
- 你的团队想要 自给自足和自我管理 — 无需依赖供应商的专业服务,即可建立您的 CA 层级结构、选择您的用例并控制您的集成
- 你想要 向私人合规迈进 PKI 未来——私营企业 PKI 使用相同的平台,并且可以升级
如果您需要向外部证明经独立审计的注册会计师治理 — 出于供应链要求、受监管行业合规性或合作伙伴生态系统信任的考虑 — 选择 私人合规 PKI 代替。
服务等级
价格仅供参考,可能会有所变动。请联系我们获取个性化报价。
实验室
- 开发人员和测试人员
- 包含 25 个有效证书
- 1 CA(本人签名)
- 每月 100 条 OCSP 响应
- 开发、测试和自动化原型设计
- 非生产用途
专业版
- 小团队
- 包含 250 个有效证书
- 2个CA
- 每月 10,000 条 OCSP 响应
- 内部 mTLSVPN/Wi-Fi(EAP-TLS),小型设备群
- 或者每月 200 美元(按需付费)
- 超过 250 万个有效证书后将收取超额费用。
业务
- 中端市场
- 包含 5,000 个有效证书
- 5个CA
- 每月 1,000,000 条 OCSP 响应
- 多种使用场景(TLS(客户端身份验证、设备身份识别、代码签名)
- 或者每月 500 美元(按需付费)
- 超过 5,000 万个有效证书后将收取超额费用。
企业版
- 大型组织
- 包含 100,000 个有效证书
- 15个CA
- 每月 10,000,000 条 OCSP 响应
- 所有用例、Kubernetes、多云、Intune/Jamf MDM、高容量设备身份
- 或者每月 1,500 美元(按需付费)
- 超过 100,000 万个有效证书后将收取超额费用。
善用
- 政府及全球规模
- 自定义活动证书卷
- 自定义 CA 层次结构
- 自定义 OCSP 卷
- 政府、全球企业、专业部署
- 可根据要求提供定价
申请早期访问
加入抢先体验计划,即可配置您自己的 CA 层级结构、锁定首发价格并参与产品路线图的制定。请注明您的级别和主要使用场景——实验室版和专业版账户将自动配置。企业版和商业版账户,我们将在发放凭证前确认其级别是否匹配。
常见用例
工作原理——自助设置
私人企业 PKI 是一款自助式产品。您的抢先体验申请获得批准且账户开通后,您可以通过控制面板和 API 控制所有功能——日常操作无需 SSL.com 的参与。
| 步骤 | 你做什么 |
|---|---|
| 1 — 注册并选择您的级别 | 申请提前体验,请注明您的级别和预期用途,并获取帐户凭证。 |
| 2 — 配置您的 CA 层次结构 | 登录并创建根 CA——为其命名、设置有效期并选择密钥算法。根据您的预期用途,在其下添加颁发 CA。 |
| 3 — 选择您的用例 | 选择适用于您层级结构的用例(例如内部 m)TLS(VPN/Wi-Fi、设备身份验证、代码签名)。SSL.com 会在您的颁发 CA 上激活相应的证书配置文件——无需自行创建配置文件。 |
| 4 — 配置注册 | 启用您的环境所需的注册协议——ACME、SCEP、EST 或 REST API。连接您的身份提供商 (IdP)、移动设备管理 (MDM) 或 Kubernetes 集群。 |
| 5 — 开始直播 | 开始颁发证书。您的专属服务 PKI 运行正常。 |
| 6 — 持续的自我管理 | 通过控制面板或 API 管理证书生命周期、监控库存和到期情况以及查看审计日志。 |
SSL.com 的角色: 我们负责底层 HSM 基础设施、OCSP 响应程序和 CRL 分发,并为所有支持的用例提供证书配置文件。您拥有并控制您的 CA 层级结构,选择适用的用例,并管理您的集成。
合规与标准
用于CA的WebTrust
SSL专用 PKI 运营活动与我们的公共信任平台一样,均受 WebTrust 审计的约束。
FIPS 140-2 3级
RFC 5280 (X.509)
ACME RFC 8555
SCEP / EST
NIST PQC 标准
常见问题
对于实验室版和专业版套餐,早期访问账户会自动配置——您可以自行配置 CA 层级并开始颁发证书,无需 SSL.com 的任何参与。企业版和商务版账户需要经过一个简单的初步审核步骤,以确认其符合套餐要求并颁发凭证,之后所有操作均可自行管理。战略版账户由于其定制化特性,需要进行一次简短的范围界定电话会议。
不。SSL.com 提供您选择的每个用例所需的所有证书配置文件。您可以选择哪些用例适用于您的层级结构——内部 MTLSVPN/Wi-Fi、设备身份、代码签名等等——相应的配置文件会自动在您的颁发 CA 上激活。
两者都提供专用的根 CA 和颁发 CA,并且都运行在同一个符合 FIPS 标准的平台上。区别在于 WebTrust 审计。私人合规性 PKISSL.com 的密钥授予仪式由其独立审计师见证,您的层级结构与我们的公共信任运营一样,均受同一审计程序的约束——这意味着您可以“直接接受”SOC2、HIPAA、供应链和合作伙伴合规性要求的审计。私营企业 PKI 这是同样的架构,只是缺少了合规计划。
托管 PKI 证书是一项共享的多租户服务——您不拥有根 CA。私营企业 PKI 为您提供完全专用的 CA 层次结构,包括您自己的根 CA,不与其他任何租户共享。
是的——因为这两个产品都构建在同一平台上,所以升级以添加 WebTrust 审计覆盖范围是一个流程讨论,而不是基础设施迁移。
支持的用例包括:内部 mTLS 以及服务网状结构、VPN/Wi-Fi 认证(EAP-TLS)、内部设备身份、开发人员和测试环境 CA、Kubernetes 工作负载身份以及代码签名。您可以选择哪些身份验证方式适用于您的证书层级结构,SSL.com 会在您的颁发 CA 上配置相应的证书配置文件。
是的。您的套餐级别决定了您可以创建的 CA 数量。企业客户最多可以创建 6 个 CA——常见的模式是每个用例创建一个颁发 CA(例如,一个用于……)。 TLS(一个用于客户端身份验证,一个用于设备身份)在共享的根 CA 下。
准备好配置您自己的专用内部空间 PKI?
相关产品
私人合规 PKI
针对受监管和合规性用例,采用相同的专用基础设施 + WebTrust 审计覆盖范围。
托管 PKI 科瑞证书
WebTrust 审计的私有 PKI 基于共享基础设施,无需专用根证书颁发机构,成本更低。
