Vertrauensmodell

Hintergrund

In einer typischen Web-Public-Key-Infrastruktur (PKI) vertrauen Millionen von Kunden auf der ganzen Welt einer Reihe unabhängiger Zertifizierungsstellen (CAs), um Identitäten (z. B. Domainnamen) in Zertifikaten zu bestätigen. Im Rahmen ihrer Zuständigkeit verpflichten sich Zertifizierungsstellen, nur Zertifikate auszustellen, wenn sie die Identität in diesem Zertifikat unabhängig bestätigt haben. Beispielsweise muss eine Zertifizierungsstelle in der Regel prüfen, ob jemand, der ein Zertifikat für den Domainnamen example.com anfordert, tatsächlich die Kontrolle über die Domain hat, bevor sie ihm ein Zertifikat ausstellt. Da diese Zertifizierungsstellen Zertifikate für Millionen von Kunden ausstellen können, zu denen sie möglicherweise keine direkte Beziehung haben, sind sie auf die Bestätigung von Identitäten beschränkt, die öffentlich nachprüfbar sind. Diese Zertifizierungsstellen sind auf bestimmte, klar definierte Überprüfungsverfahren beschränkt, die in der Web PKI einheitlich angewendet werden.

Im Gegensatz zu Web PKI umfasst eine private PKI oft eine kleinere Zertifizierungsstellenhierarchie, die direkt von einer Organisation verwaltet wird. Eine private PKI sendet Zertifikate nur an Clients, die der Organisation vertrauen, dass sie die entsprechenden Kontrollen hat (z. B. Maschinen, die dieser Organisation gehören). Da die Administratoren der Zertifizierungsstelle häufig eigene Methoden zur Validierung von Identitäten haben, für die sie Zertifikate ausstellen (z. B. Zertifikate für ihre eigenen Mitarbeiter), sind sie nicht durch dieselben Anforderungen wie bei der Web PKI eingeschränkt. Diese Flexibilität ist einer der Hauptvorteile der privaten PKI gegenüber der Web-PKI. Eine private PKI ermöglicht neue Anwendungsfälle, z. B. die Sicherung interner Websites mit kurzen Domainnamen, ohne dass eine eindeutige Inhaberschaft dieser Namen erforderlich ist, oder die Codierung alternativer Identitätsformate (z. B. SPIFFE-IDs) in einem Zertifikat.

Der Certificate Authority Service soll die Verwaltung privater PKIs vereinfachen, indem Sie CAs ganz einfach erstellen und verwalten können. Daher wird in CA Service nicht definiert, wie Identitäten in Zertifikaten validiert werden müssen. Der CA-Dienst bietet jedoch eine Reihe robuster Richtlinieneinstellungen, die eine detaillierte Konfiguration von CA-Pools ermöglichen. Weitere Informationen finden Sie unter Richtliniensteuerungen.

Nächste Schritte