أمثلة على 1) المرجع المصدق الوسيط في التسلسل الهرمي للثقة المفتوحة و 2) التسلسل الهرمي الخاص المعزول من التسلسل الهرمي المفتوح مع المرجع المصدق الخاص بهكانت البنية التحتية للمفاتيح العامة (PKI) تقليديا هرمية. في ذلك ، ترتبط المراجع المصدقة (CAs) بعلاقات التبعية. يثق جميع المستخدمين في نفس المرجع المصدق الجذر (الرأس) ، ويخضع كل المرجع المصدق الأدنى إلى مرجع أعلى في التسلسل الهرمي.
ولكن ماذا لو أردنا إنشاء
بنية أساسية خاصة بـ PKI من خلال المرجع المصدق الخاص بنا؟ في الواقع ، في بعض الحالات ، تكون هذه التسلسلات الهرمية الوسيطة أو الجزئية مريحة للغاية في الممارسة.
الأسباب النموذجية لإنشاء تسلسل هرمي وسيط أو خاص
- مصادقة العملاء
من الملائم إجراء مصادقة العميل باستخدام الشهادات استنادًا إلى مرجع مصدق وسيط. إذا كان لديك مرجع مصدق تابع خاص ، فيمكنك تحديد عدد الشهادات التي توفر الوصول إلى النظام. في هذه الحالات ، عادةً ما يتم استخدام التسلسلات الهرمية الثقة الخاصة.
- العلامات التجارية
بالنسبة للشركات التي تقدم شهادات إلى عملائها أو تدرجها في حزمة الخدمات المقدمة ، فإن وجود المرجع المصدق الخاص بهم يسمح لك بتقديم بعض فرص العلامات التجارية الإضافية.
- SSL / TLS التفتيش / فك التشفير
لكي يقوم مدقق طبقة المقابس الآمنة بفك تشفير المحتوى وإعادة تشفيره ، يجب أن يكون قادرًا على إصدار الشهادات حسب الحاجة. هذا يعني أنك بحاجة إلى المرجع المصدق التابع لك خارج التسلسل الهرمي العام للثقة. في هذه الحالة ، يوجد المرجع المصدق الجذر في GlobalSign ، ويوجد المرجع المصدق الوسيط على جهاز التحقق من شهادة العميل.
- شهادات الأغراض الخاصة
يمكن أن تدعم الشهادات التي يتم إصدارها داخل التسلسلات الهرمية الخاصة التطبيقات القديمة والتكوينات الفريدة ، مثل فترات الصلاحية الأطول وأحجام المفاتيح الأصغر ، والتي لا يُسمح بها في الشهادات الموثوق بها العامة وفقًا للمتطلبات الأساسية لمنتدى CA / Browser. ومع ذلك ، إذا كنت بحاجة فقط لشهادات SSL / TLS خاصة ، دون المرجع المصدق الخاص الكامل ، فيمكنك استخدام خدمة IntranetSSL .
- الملامح المخصصة
يمكنك تكوين المرجع المصدق الفرعي لمهام محددة عن طريق تغيير السياسات الخاصة بالاستخدام الموسع للمفاتيح ، وسياسات الشهادة ، ونقطة توزيع قوائم إبطال الشهادات (CRL) ، وإصدار شهادات قصيرة الأجل ، إلخ.
الإقامة والدعم
يمكن للشركة استضافة وصيانة المراجع المصدقة الخاصة بها أو الاستعانة بمصادر خارجية لها. تتعهد العديد من الشركات بنشر أنظمة PKI واسعة النطاق بمفردها (الاستعانة بمصادر خارجية) ، دون الحاجة إلى الموارد اللازمة لذلك. نظرًا لأن هذه العملية تتطلب الاستثمار ، فمن الأفضل إجراء تقييم مسبق لمواردك المادية وقدراتك المالية في الوقت الحالي وفي السنوات المقبلة ، والأثر الاقتصادي لاستخدام التكنولوجيا الجديدة والتكاليف الأولية وتكلفة النظام.
بعد إجراء هذا التقييم ، قد تتوصل بعض المؤسسات إلى استنتاج أنها لا تحتاج إلى بنية تحتية للمفتاح العام ، ومن الأفضل في حالاتها استخدام أدوات الأمان الأخرى: على سبيل المثال ، VPN أو برامج تشفير الملفات. بدلاً من البنية التحتية PKI بأكملها ، يكون من الأسهل في بعض الأحيان بدء تشغيل خادم شهادات فقط ، مما يحل مشاكل الوصول غير المصرح به إلى محتوى الويب (IntranetSSL ، انظر أعلاه).
التسلسل الهرمي الوسيط أو الخاص
في التسلسل الهرمي المفتوح ، تكون جميع CAs تابعة لجذر المرجع المصدق (CA) الذي تم تضمين مفتاحه العام في تطبيق عام ، مثل مستعرض الويب. في هذه الحالة ، يمكن للمتصفح التحقق تلقائيًا من صلاحية الشهادات التي تصدرها جميع المراجع المصدقة (CA) في التسلسل الهرمي بأكمله ، وكذلك للناشرين ، وهي ميزة لا جدال فيها.
عادةً ما يتم استخدام التسلسلات الهرمية المفتوحة في الحالات التي يكون فيها تبادل المعلومات مع أطراف غير تابعة أو مصادقة عليها مطلوبًا. الطرف الموثوق به الثالث في هذه الحالة هو CA الاستعانة بمصادر خارجية.
في حالة التسلسل الهرمي الخاص ، يضيف المستخدم النهائي يدويًا المفتاح العمومي لـ CA root للشركات إلى قائمة المفاتيح الموثوقة المضمنة في التطبيق. في هذه الحالة ، تقع مسؤولية استخدام المفتاح على عاتق المستخدم. التسلسلات الهرمية الخاصة أكثر ملاءمة للمجتمعات المغلقة ، على سبيل المثال ، مستخدمي بوابة الشركة.
أمثلة نموذجية أو خاصة التسلسل الهرمي
- المرجع المصدق الخاص CA و التسلسل الهرمي (PKI الخاص)
يمكن لـ GlobalSign إنشاء واستضافة تسلسلات هرمية خاصة ، بما في ذلك الجذر والمتوسط. وهي مبنية على نفس البنية التحتية الآمنة التي يتم استخدامها لدعم المراجع المصدقة الخاصة بها في تسلسل هرمي مفتوح.
- الشركات الخاصة المتوسطة CA ، مركز إصدار الشهادات
يتم إنشاء المراجع المصدقة الوسيطة للعلامة التجارية خصيصًا لعميل معين ، مع وجود سلسلة من الثقة إلى المرجع المصدق الجذر في تسلسل هرمي مفتوح. يمكن أيضًا استضافة هذه العقد الوسيطة بواسطة GlobalSign وصيانتها ، مما يخفف من عبء إدارة PKI ومعرفة الخبراء للفرق الداخلية.
- المشتركة المفتوحة الجذر CA (منصة PKI المدارة)
رغم أنه في بعض المواقف تكون هناك حاجة إلى المراجع المصدقة الجذر والتسلسلات الهرمية ، يمكن لمعظم المنظمات تلبية المتطلبات التنظيمية للشهادات باستخدام الخدمات المتخصصة على نظام إدارة PKI (Managed PKI) . يوفر مدخل إدارة الشهادات متعدد الإمكانات إعداد الفواتير المتقدمة وإدارة المستخدم وإعداد التقارير والمزيد.
- مشترك الجذر الخاص CA (IntranetSSL)
يوفر IntranetSSL ، المتاح من خلال نظام إدارة PKI ، طريقة فعالة من حيث التكلفة لإصدار وإدارة شهادات SSL / TLS للخوادم والتطبيقات الداخلية. يتم إصدار هذه الشهادات من هيئة مصادقة عامة أو غير عامة تابعة لـ GlobalSign ، وبالتالي قد تتضمن تكوينات يحظر منتدى CA / Browser استخدامها في شهادات عامة (على سبيل المثال ، صالحة لأكثر من ثلاث سنوات أو أسماء خوادم داخلية أو عناوين IP محجوزة).
- إنترنت الأشياء الثقة الجذر
تتمتع جذور الثقة في إنترنت الأشياء بنفس المرونة التي تتمتع بها جذور الثقة التقليدية ، لكنها مصممة وفقًا لمتطلبات إنترنت الأشياء المحددة. يمكن استخدام التسلسلات الهرمية الخاصة ، والمراجع المركزية الوسيطة التي يمكن الوصول إليها بشكل عام ، ومراكز الجذر في التسلسل الهرمي المفتوح أو الخاص لحماية أجهزة إنترنت الأشياء والأنظمة الأساسية والبوابات والشبكات وفقًا لمستوى الثقة المطلوب.
- التسلسل الهرمي الخاص للثقة
يدعم GlobalSign تقريبًا أي تكوين هرمي. إذا كنت بحاجة إلى نموذج مختلف عن النموذج الموصوف أعلاه ، أو أنه ليس من الواضح على الفور أي البنية مناسبة لنظام بيئي معين ، فمن الأفضل أن تناقش مع أخصائي وخبير استشاري بناء بنية ثقة تلبي احتياجات محددة.
لأي من الأمثلة المذكورة أعلاه ، يمكن الاستعانة بمصادر خارجية لدعم CA. لا تزال العلامات التجارية ممكنة ، لكن GlobalSign تتم استضافتها وإدارتها في مراكز بيانات آمنة مزودة بأجهزة وبرامج مثبتة. وسيساعد السيناريوهات غير القياسية مهندسون مرافقة.
يبدو أن منحك التسلسل الهرمي للثقة إلى الاستعانة بمصادر خارجية ، يؤدي إلى خفض مستوى الأمان ، ولكن في الواقع العملي هو العكس. يضمن ذلك حماية جميع مكونات المرجع المصدق (CA) وتهيئتها بشكل صحيح وفقًا لأفضل ممارسات الصناعة. ومن المزايا الإضافية توفير التكاليف وعبء الموارد على الفرق الداخلية لدعم PKI. فقط في بعض الحالات النادرة (على سبيل المثال ، التحقق من SSL / فك التشفير) يجب أن يكون الرابط الوسيط موجودًا على العميل.
