企业公钥基础设施（PKI）：公共CA与专用CA

对于拥有大型网络基础设施的企业公司，有时最好使用自己的PKI

许多企业公司都有大量的数据痕迹，需要特别注意保持和更新。 这些挑战与个人网站所有者甚至中小企业（SMB）所面临的挑战不同。 举个例子，像宝洁公司这样的公司，不仅管理自己的网站，管理无数品牌网站，还有内部网络供员工工作和交流，更不用说物联网的出现了 他们现在正在处理手机和平板电脑等连接设备，以及所有员工的个人电脑。

如此大的数据体量势必要花费大量的精力来确保安全。而在这种情况下，您将需要PKI的支持。

什么是PKI?

公钥基础架构基本上是用于管理，分发，使用，存储和撤销可信数字证书的框架。 PKI将公钥与它们各自的身份绑定。 大多数人通过SSL证书了解PKI，但是PKI一直在保护网页，加密文件以及长时间验证和加密电子邮件。

打个比方，你现在处于根证书或一个中间机构的位置，每个颁发的证书都将由该根签名。 这允许每个已颁发的证书进行认证。 由于每个证书都绑定到一个身份并由受信任的根签名，因此可以轻松验证公钥是否属于特定实体。此外，验证也是证书颁发的重要环节，大多数企业公司可以在经过一次业务认证后发布自己的证书。

公共CA与专用CA哪个更合适？

每种方法都有优点和缺点。如果您要保护一个可以被公众访问的域名，那么最好拥有一个公共根目录，因为大多数浏览器的信任存储库中已经拥有该根目录，并且会使身份验证更容易。此外，大多数公共CA已经拥有可根据需要进行扩展的PKI。

专用根是专用CA的第一步，可让您发行自签名数字证书。缺点是它可能成本过高，并且您必须将您的私有根添加到公司的浏览器。另外，请记住，如果这是一个面向公众的域名，其根目录不会位于访问者的信任商店，您的网站将收到来自他们正在使用的任何浏览器的警告消息。另一方面，如果您将私有根用于内部目的（例如测试或物联网），则管理自己的PKI而不是依赖第三方CA要容易得多。

当然，大多数CA都有企业工具，允许公司根据需要自由发布。

托管CA和内部CA有什么区别？

这个答案与我们在前一节讨论过的类似。 基本上，归结起来，你是想建立一个内部的PKI还是购买一个托管的PKI服务。

很多都归结于你自己的资源和人员。 如果你能负担得起某人或一个团队来监督PKI，那么这是一个不错的选择，因为它为你提供了很多发行和部署方面的灵活性。 但请记住，您还必须支付硬件，软件，许可和培训费用。 对于很多小公司来说，这会造成成本过高。

托管CA提供了与内部CA相同的许多优点，最大的不同之处在于您减轻了购买和维护硬件和软件的部分费用。 此外，由于CA包含在信任库中，您的证书将被公开信任。 更不用说，从公共CA颁发专用证书的成本只是公众信任的证书的一小部分。

企业级证书管理

企业面临的最大挑战之一是知名度。 在您的电子足迹和所有连接的设备之间，您可能会在任何给定时间部署数千个证书。 这是一个与公共CA一起使用的地方，具有明确的优势。 虽然有第三方工具可以帮助发现，但公共CA已花费数年的时间来构建自己的平台以满足企业需求。 管理自己的PKI已经足以应对可见性带来的挑战。 没有它，你只是在招惹麻烦。

此外，您还可以在利用公共CA的现有PKI的同时建立自己的PKI。这种方法可以在您面临非内部CA问题时有更多可靠的信息。

最后要记住的一点是，如果你正在构建自己的PKI，那就给它增长空间。 不要只是为了满足当前的需求而设计它，而是要考虑它将如何扩展到组织的未来目标，而不仅仅是你今天追求的目标。 不要忘了自动化。 如果您无法自动执行证书部署，您将需要花大部分时间来管理证书。 自动化有几种不错的选择：RESTful API，简单证书注册协议（SCEP），安全传输注册（EST）和Microsoft AD自动注册。

稿源：The ssl store