Modèle de confiance

Contexte

Dans une infrastructure à clé publique (PKI) classique, des millions de clients à travers le monde font confiance à un ensemble d'autorités de certification (CA) indépendantes pour revendiquer des identités (telles que les noms de domaine) dans les certificats. Dans le cadre de leurs responsabilités, les autorités de certification s'engagent à n'émettre des certificats que lorsqu'elles ont validé l'identité de ce certificat de manière indépendante. Par exemple, une autorité de certification doit généralement vérifier qu'une personne demandant un certificat pour le nom de domaine example.com contrôle bien ce domaine avant de lui délivrer un certificat. Étant donné que ces autorités de certification peuvent émettre des certificats pour des millions de clients lorsqu'ils n'ont peut-être pas de relation directe existante, elles sont limitées à la déclaration d'identités publiquement vérifiables. Ces autorités de certification sont limitées à certains processus de vérification bien définis qui sont appliqués de manière cohérente à l'infrastructure PKI Web.

Contrairement à l'infrastructure PKI Web, une ICP privée implique souvent une hiérarchie de CA plus petite, directement gérée par une organisation. Une PKI privée n'envoie des certificats qu'aux clients qui font intrinsèquement confiance à l'organisation pour disposer des contrôles appropriés (par exemple, des machines appartenant à cette organisation). Étant donné que les administrateurs d'autorités de certification ont souvent leur propre méthode de validation des identités pour lesquelles ils émettent des certificats (par exemple, émettre des certificats pour leurs propres employés), ils ne sont pas limités par les mêmes exigences que pour l'infrastructure PKI Web. Cette flexibilité est l'un des principaux avantages de l'ICP privée par rapport à l'ICP Web. Une PKI privée permet de nouveaux cas d'utilisation, tels que la sécurisation de sites Web internes avec des noms de domaine courts sans exiger la propriété unique de ces noms, ou l'encodage d'autres formats d'identités (tels que les ID SPIFFE) dans un certificat.

Certificate Authority Service vise à simplifier le processus de gestion de l'infrastructure PKI privée en vous permettant de créer et de gérer facilement des autorités de certification. Par conséquent, CA Service ne définit pas la manière dont les identités dans les certificats doivent être validées. Toutefois, CA Service fournit un ensemble robuste de contrôles des règles qui permet une configuration précise des pools d'autorités de certification. Pour en savoir plus, consultez la section Commandes des règles.

Étapes suivantes