关注网络安全
和行业未来

企业公钥基础设施(PKI):公共CA与专用CA

对于拥有大型网络基础设施的企业公司,有时最好使用自己的PKI

许多企业公司都有大量的数据痕迹,需要特别注意保持和更新。 这些挑战与个人网站所有者甚至中小企业(SMB)所面临的挑战不同。 举个例子,像宝洁公司这样的公司,不仅管理自己的网站,管理无数品牌网站,还有内部网络供员工工作和交流,更不用说物联网的出现了 他们现在正在处理手机和平板电脑等连接设备,以及所有员工的个人电脑。

如此大的数据体量势必要花费大量的精力来确保安全。而在这种情况下,您将需要PKI的支持。

什么是PKI?

公钥基础架构基本上是用于管理,分发,使用,存储和撤销可信数字证书的框架。 PKI将公钥与它们各自的身份绑定。 大多数人通过SSL证书了解PKI,但是PKI一直在保护网页,加密文件以及长时间验证和加密电子邮件。

打个比方,你现在处于根证书或一个中间机构的位置,每个颁发的证书都将由该根签名。 这允许每个已颁发的证书进行认证。 由于每个证书都绑定到一个身份并由受信任的根签名,因此可以轻松验证公钥是否属于特定实体。此外,验证也是证书颁发的重要环节,大多数企业公司可以在经过一次业务认证后发布自己的证书。

公共CA与专用CA哪个更合适?

每种方法都有优点和缺点。如果您要保护一个可以被公众访问的域名,那么最好拥有一个公共根目录,因为大多数浏览器的信任存储库中已经拥有该根目录,并且会使身份验证更容易。此外,大多数公共CA已经拥有可根据需要进行扩展的PKI。

专用根是专用CA的第一步,可让您发行自签名数字证书。缺点是它可能成本过高,并且您必须将您的私有根添加到公司的浏览器。另外,请记住,如果这是一个面向公众的域名,其根目录不会位于访问者的信任商店,您的网站将收到来自他们正在使用的任何浏览器的警告消息。另一方面,如果您将私有根用于内部目的(例如测试或物联网),则管理自己的PKI而不是依赖第三方CA要容易得多。

当然,大多数CA都有企业工具,允许公司根据需要自由发布。

托管CA和内部CA有什么区别?

这个答案与我们在前一节讨论过的类似。 基本上,归结起来,你是想建立一个内部的PKI还是购买一个托管的PKI服务。

很多都归结于你自己的资源和人员。 如果你能负担得起某人或一个团队来监督PKI,那么这是一个不错的选择,因为它为你提供了很多发行和部署方面的灵活性。 但请记住,您还必须支付硬件,软件,许可和培训费用。 对于很多小公司来说,这会造成成本过高。

托管CA提供了与内部CA相同的许多优点,最大的不同之处在于您减轻了购买和维护硬件和软件的部分费用。 此外,由于CA包含在信任库中,您的证书将被公开信任。 更不用说,从公共CA颁发专用证书的成本只是公众信任的证书的一小部分。

企业级证书管理

企业面临的最大挑战之一是知名度。 在您的电子足迹和所有连接的设备之间,您可能会在任何给定时间部署数千个证书。 这是一个与公共CA一起使用的地方,具有明确的优势。 虽然有第三方工具可以帮助发现,但公共CA已花费数年的时间来构建自己的平台以满足企业需求。 管理自己的PKI已经足以应对可见性带来的挑战。 没有它,你只是在招惹麻烦。

此外,您还可以在利用公共CA的现有PKI的同时建立自己的PKI。这种方法可以在您面临非内部CA问题时有更多可靠的信息。

最后要记住的一点是,如果你正在构建自己的PKI,那就给它增长空间。 不要只是为了满足当前的需求而设计它,而是要考虑它将如何扩展到组织的未来目标,而不仅仅是你今天追求的目标。 不要忘了自动化。 如果您无法自动执行证书部署,您将需要花大部分时间来管理证书。 自动化有几种不错的选择:RESTful API,简单证书注册协议(SCEP),安全传输注册(EST)和Microsoft AD自动注册。

 

稿源:The ssl store

评论 1

  1. #1

    看了你的网站,觉得www.ssleye.com比较low,滑稽笑

    匿名4个月前 (03-01)回复