Model kepercayaan
Latar belakang
Pada Web Public Key Infrastructure (IKP) standar, jutaan klien di seluruh
dunia memercayai sekumpulan certificate authority (CA) independen untuk menegaskan identitas
(seperti nama domain) dalam sertifikat. Sebagai bagian dari tanggung jawabnya, CA hanya berkomitmen
untuk menerbitkan sertifikat setelah mereka memvalidasi identitas
dalam sertifikat tersebut secara independen. Misalnya, CA biasanya perlu memverifikasi bahwa
seseorang yang meminta sertifikat untuk nama domain example.com
benar-benar
mengontrol domain tersebut sebelum mengeluarkan sertifikat kepadanya. Karena CA tersebut dapat menerbitkan sertifikat untuk jutaan pelanggan yang mungkin tidak memiliki hubungan langsung, hanya untuk menegaskan identitas yang dapat diverifikasi secara publik. CA tersebut terbatas pada proses verifikasi
tertentu yang terdefinisi dengan baik yang secara konsisten diterapkan di seluruh IKP Web.
Tidak seperti IKP Web, IKP pribadi sering kali melibatkan hierarki CA yang lebih kecil, yang dikelola langsung oleh organisasi. IKP pribadi hanya mengirimkan sertifikat ke klien yang secara inheren memercayai organisasi tersebut untuk memiliki kontrol yang sesuai (misalnya, mesin yang dimiliki oleh organisasi tersebut). Karena admin CA sering kali memiliki caranya sendiri untuk memvalidasi identitas yang mereka gunakan untuk menerbitkan sertifikat (misalnya, menerbitkan sertifikat kepada karyawannya sendiri), mereka tidak dibatasi oleh persyaratan yang sama seperti untuk IKP Web. Fleksibilitas ini adalah salah satu keuntungan utama IKP pribadi dibandingkan IKP Web. IKP pribadi memungkinkan kasus penggunaan baru seperti mengamankan situs internal dengan nama domain pendek tanpa memerlukan kepemilikan unik atas nama tersebut, atau mengenkode format identitas alternatif (seperti ID SPIFFE) ke dalam sertifikat.
Certificate Authority Service bertujuan untuk menyederhanakan proses pengelolaan IKP pribadi dengan memungkinkan Anda membuat dan mengelola CA dengan mudah. Dengan demikian, CA Service tidak menentukan cara validasi identitas dalam sertifikat. Namun, CA Service menyediakan serangkaian kontrol kebijakan yang andal yang memungkinkan konfigurasi kumpulan CA yang mendetail. Untuk informasi lebih lanjut, lihat Kontrol kebijakan.
Langkah selanjutnya
- Pelajari kontrol kebijakan lebih lanjut.
- Pelajari cara mengonfigurasi kebijakan IAM.
- Pelajari cara menggunakan kebijakan penerbitan.