Vertrauensmodell
Hintergrund
In einer typischen Web Public Key Infrastructure (PKI) vertrauen Millionen von Clients weltweit einer Reihe unabhängiger Zertifizierungsstellen (Certificate Authorities, CAs), um Identitäten (z. B. Domainnamen) in Zertifikaten zu bestätigen. Als Teil ihrer Aufgaben verpflichten CAs, Zertifikate nur dann auszustellen, wenn sie die Identität in diesem Zertifikat unabhängig überprüft haben. Beispielsweise muss eine Zertifizierungsstelle in der Regel überprüfen, ob ein Nutzer, der ein Zertifikat für den Domainnamen example.com
anfordert, auch die besagte Domain kontrolliert, bevor er ein Zertifikat für sie ausstellt. Da diese Zertifizierungsstellen Zertifikate für Millionen von Kunden ausstellen können, wenn sie möglicherweise keine direkte Beziehung haben, sind sie auf die Bestätigung von Identitäten beschränkt, die öffentlich überprüfbar sind. Diese Zertifizierungsstellen sind auf bestimmte genau definierte Verifizierungsprozesse beschränkt, die einheitlich auf die gesamte Web-PKI angewendet werden.
Im Gegensatz zu einer Web-PKI umfasst eine private PKI häufig eine kleinere CA-Hierarchie, die direkt von einer Organisation verwaltet wird. Eine private PKI sendet Zertifikate nur an Clients, die der Organisation grundsätzlich vertrauen, die entsprechenden Kontrollen zu haben (z. B. Computer, die dieser Organisation gehören). Da die CA-Administratoren häufig ihre eigenen Methoden zur Validierung von Identitäten haben, für die sie Zertifikate ausstellen (z. B. die Ausstellung von Zertifikaten an eigene Mitarbeiter), sind sie nicht durch dieselben Anforderungen wie für Web-PKI eingeschränkt. Diese Flexibilität ist einer der Hauptvorteile einer privaten PKI gegenüber Web-PKI. Eine private PKI ermöglicht neue Anwendungsfälle, wie das Sichern interner Websites mit kurzen Domainnamen, ohne dass eindeutige Eigentumsrechte für diese Namen erforderlich sind, oder die Codierung alternativer Identitätsformate (z. B. SPIFFE-IDs) in einem Zertifikat.
Certificate Authority Service soll die Verwaltung privater PKI vereinfachen, da Sie damit CAs ganz einfach erstellen und verwalten können. Daher definiert CA Service nicht, wie Identitäten in Zertifikaten validiert werden müssen. CA Service bietet jedoch eine Reihe robuster Richtlinienkontrollen, die eine detaillierte Konfiguration von CA-Pools ermöglichen. Weitere Informationen
Nächste Schritte
- Weitere Informationen zu Richtlinien
- IAM-Richtlinien konfigurieren
- Weitere Informationen zum Verwenden einer Ausstellungsrichtlinie