Public Key Infrastructure

Public Key Infrastructure (PKI) - un sistem de certificate digitale, autoritățile de certificare și autoritățile de înregistrare care verifică și confirmă identitatea fiecărei entități implicate într-o tranzacție electronică, prin utilizarea criptografiei cu chei publice. Standardele pentru PKI sunt încă în evoluție, în ciuda faptului că acestea sunt puse în aplicare pe scară largă ca un element necesar al comerțului electronic. Pentru mai multe informații despre planificarea PKI și utilizarea de chei publice criptografia cm. Resurse Active Directory Services certificat.

În forma sa cea mai simplă, o ierarhie de certificare constă dintr-o autoritate de certificare unică. Dar ierarhia conține frecvent mai multe CAs cu relații clar definite „părinte-copil“. În acest model, CA subordonat copilului certificat printr-un certificat emis de CA-mamă și se leagă cheia publică identitatea. Centrul de certificare, situat pe partea de sus a ierarhiei se numește autoritatea de certificare rădăcină. Copilul CA CA rădăcină se numește o autoritate de certificare subordonată. Pentru mai multe informații, consultați. Tipuri de CA.

În Windows, în cazul în care utilizatorul are încredere autoritatea de certificare rădăcină (certificatul său este în magazin de utilizator pentru Root certificat Autoritățile de Certificare de încredere), el are încredere și toate subordonate ierarhiei de certificare centre cu un certificat CA valid. Prin urmare, CA rădăcină este un punct foarte important de încredere într-o organizație și ar trebui să fie protejate în mod corespunzător. Pentru mai multe informații, consultați. Certificat CA.

Există mai multe motive practice pentru a crea mai multe CAs subordonate, inclusiv:

  • Utilizați. Certificatele pot fi emise pentru un număr de scopuri, cum ar fi e-mail securizat și autentificare de rețea. Problemă legată de politică pentru aceste aplicații pot fi diferite, iar această diferență este baza pentru administrarea acestor politici.
  • unitate organizațională. Politicile de emitere a certificatului poate varia în funcție de rolul obiectului în organizație. Din nou, puteți crea CAs subordonate pentru a separa și administra aceste politici.
  • Diviziunea geografică. Obiecte organizații pot, în multe locații fizice. Rețeaua de comunicare între aceste locuri subordonate CAs individuale pot fi necesare pentru mai multe sau pentru toate site-urile.
  • De echilibrare a sarcinii. În cazul în care infrastructura PKI vor fi folosite pentru a emite un număr mare de certificate și de control, utilizarea unui singur CA poate duce la încărcarea rețelei vizibile pentru această autoritate de certificare unică. Utilizarea mai multor subordonate AC emite certificate pentru același tip de rețea împarte sarcina între AC.

    CA ierarhie poate oferi, de asemenea, o serie de avantaje din punctul de vedere al administrației, inclusiv:

    • Configurarea flexibilă a mediului de securitate CA pentru a regla echilibrul dintre securitate și gradul de utilizare. De exemplu, puteți utiliza un hardware criptografic special pe o CA rădăcină, utilizați CA rădăcină într-o zonă sigură punct de vedere fizic, sau în mod autonom. Această abordare poate fi inacceptabilă pentru CAs subordonate din motive de costuri sau comoditate.
  • Capacitatea de a „opri“ o anumită parte a ierarhiei CA fără a afecta relațiile de încredere stabilite. De exemplu, puteți închide cu ușurință în jos și să revoce certificatul eliberat, care este asociat cu o anumită unitate, fără a afecta alte părți ale organizației.

    Surse suplimentare de informații

    articole similare