什么是下级CA?
在Internet公钥基础结构(Internet PKI),公众信任最终将驻留在由证书颁发机构(例如, SSL.com。 这些证书内置在最终用户的Web浏览器,操作系统和设备中,并允许用户信任Internet服务器的身份并与其建立加密的通信(有关更多详细信息,请参阅SSL.com上的文章) 浏览器和证书验证).
因为它们是支持Internet上受信任和安全通信的主要技术,并且建立和维护起来既困难又昂贵,所以公共受信任的根证书的私钥非常有价值,必须不惜一切代价加以保护。 因此,对于CA而言,从以下位置向客户颁发最终实体证书是最有意义的 下级证书 (有时也称为 中级证书)。 这些证书由根证书签名,该证书安全脱机,并用于签署最终实体证书,例如SSL /TLS Web服务器的证书。 这创建了一个 信任链 回到根CA,并且破坏从属证书(无论可能有多糟),不会导致灾难性的需要撤销由根CA颁发的每个证书。 CA / Browser论坛将对这种情况的常识性反应进行整理 基准要求 禁止直接从根CA颁发最终实体证书,本质上要求它们保持脱机状态,以强制使用从属CA(也称为 颁发CA)在互联网上 PKI.
从属CA除了确保根CA的安全外,还执行组织内部的管理功能。 例如,一个从属CA可以用于签署SSL证书,而另一个用于代码签署。 在公共互联网的情况下 PKI,其中一些行政隔离由CA / Browser论坛授权。 在其他情况下,我们希望在这里进行更仔细的研究,根CA可能会发布下级CA并将其委派给单独的组织,从而赋予该实体签署公开受信任的证书的能力。
为什么你可能需要一个
简短的答案是,托管的从属CA可以为您提供对公开受信任的最终实体证书颁发的最大控制,而建立自己的根CA和/或私有CA的潜在成本只有一小部分 PKI 基础设施。
而 PKI 信任链可能包含三个以上的证书,并且可能排列在复杂的层次结构中,根,中间和最终实体证书的总体原理保持一致:控制受信任的根CA签名的从属CA的实体可以颁发隐式信任的证书最终用户的操作系统和网络浏览器。 如果没有作为根CA信任链一部分的从属CA,则组织只能发布 自签名 最终用户必须手动安装的证书,最终用户还必须自行决定是否信任该证书,或者建立私有证书 PKI 基础架构(请参见下文)。 避免这种可用性障碍和潜在的信任障碍,同时保持根据组织的业务目标随意颁发自定义证书的能力,这是您可能希望将自己的从属CA纳入组织的一部分的主要原因之一 PKI 计划。
组织可能有许多其他令人信服的原因,希望获得自己的从属CA。 其中一些是:
- 品牌证书。 诸如网络托管公司之类的企业可能希望提供品牌的面向公众的SSL /TLS 给客户的证书。 通过由公共根CA签名的从属CA,这些公司可以随意以自己的名称发布公共信任的证书,而不必在浏览器和操作系统根存储中建立自己的根CA,也无需在其上进行大量投资 PKI 基础设施。
- 客户端身份验证。 控制从属CA赋予了对证书进行签名的能力,该证书可用于验证最终用户的设备并管理对系统的访问。 数字恒温器或机顶盒的制造商可能希望为每台设备签发证书,以确保只有其设备才能与服务器通信。 借助自己的下级CA,企业可以完全控制在其生产,销售和/或提供服务的设备上根据需要颁发和更新证书。 特定的业务需求可能需要使用公共信任而不是私人信任或从中受益 PKI 扮演这个角色。 例如,物联网设备可能包括一个内置的Web服务器,制造商希望为其提供一个唯一可识别的,公众信任的SSL /TLS 证书。
- 定制化。 有了自己的从属CA,并且要记住面向公众的证书必须遵守CA / Browser论坛基准要求,因此组织可以自由地自定义和配置其证书及其生命周期,以满足其特定需求。
私人与公共 PKI
形成一个 PKI 计划,企业必须在私人和公共之间做出选择 PKI。 就本文而言,最重要的是要注意,如果组织希望发布面向公众的证书并期望它们被隐式信任,则该组织 必须 具有由公共信任的根CA签名的从属CA,或设法获得自己的自签名证书,这些证书由各个根程序信任。 如果没有到根CA的信任链,最终用户将不得不做出自己的信任确定,而不是仅仅依靠其操作系统和浏览器根存储。 另一方面,如果公众信任是 无需 需要,一个私人的 PKI 基础设施使组织免于遵守规范公众的标准 PKI。 在这种情况下,有可能引用流行的解决方案 Microsoft Active Directory证书服务 内部使用 PKI。 看 SSL.com的文章 关于此主题的更多详细说明,公共与私人 PKI.
内部与SaaS
当权衡私人与公共利益时 PKI,对于组织而言,考虑人员和硬件的潜在成本,并意识到他们将对自己的私有根和从属密钥的安全负责也是很重要的。 如果需要公众的信任,那么对于许多组织来说,建立和维护操作系统和浏览器根程序的合规性必须付出巨大的努力。 代管 PKI 面向公众 和 现在,可以从多个根证书颁发机构(包括 SSL.com),并可以帮助企业客户避免内部的大量费用和精力 PKI。 托管的从属CA通常允许组织通过主机提供的基于Web的界面和/或API发行和管理最终实体证书的生命周期。 代管 PKI,无论是否受公众信任,也让组织放心,因为他们知道托管方的 PKI 对设施和过程进行定期,彻底和昂贵的审核,并随着标准和最佳实践的发展而积极地维护和更新这些设施和过程。
结论
如果您的组织需要颁发公共信任证书的能力,则托管的从属CA是一种经济高效且方便的解决方案。 如果您认为下级CA对您而言是一个不错的选择,请随时与我们联系 support@ssl.com 获取更多信息。
和往常一样,感谢您对 SSL.com,我们认为更安全的互联网就是更好的互联网。