Інфраструктури відкритих ключів

Інфраструктура відкритих ключів (PKI) - це система цифрових сертифікатів, авторизації та центрів реєстрації, які перевіряють і підтверджують справжність кожного об'єкта, який бере участь в електронній транзакції з використанням криптографії з відкритими ключами. Стандарти для PKI все ще розвиваються, незважаючи на те, що вони широко реалізовані як необхідний елемент електронної торгівлі. Для отримання додаткових відомостей про планування PKI і використанні криптографії з відкритими ключами см. Ресурси служб сертифікації Active Directory.

У простій формі ієрархія сертифікації складається з одного центру сертифікації. Але ієрархія часто містить кілька центрів сертифікації з явно певними відносинами "батько-нащадок". У цій моделі дочірній підлеглий центр сертифікації сертифікується за допомогою сертифікатів, виданих його батьківським центром сертифікації і прив'язують відкритий ключ до його посвідченню. Центр сертифікації, що знаходиться на вершині ієрархії, називається кореневим центром сертифікації. Дочірній центр сертифікації кореневого центру сертифікації називається підлеглим центром сертифікації. Для отримання додаткових відомостей див. Типи центрів сертифікації.

У Windows, якщо користувач довіряє кореневого центру сертифікації (його сертифікат знаходиться в сховищі користувача для сертифікатів довірених кореневих центрів сертифікації), він довіряє і всім підлеглим центрам сертифікації ієрархії, що володіє дійсним сертифікатом авторизації. Отже, кореневої центр сертифікації є дуже важливою точкою довіри в організації і повинен бути відповідним чином захищена. Для отримання додаткових відомостей див. Сертифікати центру сертифікації.

Існує кілька практичних причин для створення декількох підлеглих авторизації, в тому числі:

  • Використання. Сертифікати можуть бути видані для кількох цілей, наприклад для захищеної електронної пошти і для перевірки автентичності в мережі. Політика видачі для цих застосувань може бути різною, і ця різниця є основою для адміністрування цих політик.
  • Підрозділи організації. Політики видачі сертифікатів можуть відрізнятися в залежності від ролі об'єкта в організації. І знову можна створити підлеглі центри сертифікації для поділу і адміністрування цих політик.
  • Географічні підрозділу. Об'єкти організацій можуть знаходитися в багатьох фізичних місцях. Для мережевої взаємодії між цим місцями можуть знадобитися окремі підлеглі центри сертифікації для багатьох або для всіх майданчиків.
  • Балансування навантаження. Якщо інфраструктура PKI буде використовуватися для видачі великої кількості сертифікатів і управління ними, використання тільки одного центру сертифікації може привести до помітної мережевий навантаженні для цього єдиного центру сертифікації. Використання декількох підлеглих авторизації для видачі сертифікатів одного і того ж виду ділить мережеву навантаження між центрами сертифікації.

    Ієрархія центрів сертифікації може також надати ряд переваг з точки зору адміністрування, в тому числі:

    • Гнучка конфігурація середовища безпеки центрів сертифікації для настройки балансу між безпекою та зручністю використання. Наприклад, можна використовувати спеціальне криптографічне обладнання на кореневому центрі сертифікації, використовувати кореневої центр сертифікації в фізично захищеної області або автономно. Такий підхід може бути неприйнятним для підлеглих авторизації через міркувань вартості або зручності.
  • Можливість "вимкнути" конкретну частину ієрархії центрів сертифікації, не впливаючи на встановлені довірені відносини. Наприклад, можна легко завершити роботу і відкликати виданий сертифікат, пов'язаний з конкретним підрозділом, не впливаючи на інші частини організації.

    Додаткові джерела інформації