Model kepercayaan

Latar belakang

Dalam Infrastruktur Kunci Publik (PKI) Web standar, jutaan klien di seluruh dunia memercayai sekumpulan certificate authority (CA) independen untuk menyatakan identitas (seperti nama domain) dalam sertifikat. Sebagai bagian dari tanggung jawabnya, CA berkomitmen untuk hanya menerbitkan sertifikat jika mereka telah memvalidasi identitas dalam sertifikat tersebut secara independen. Misalnya, CA biasanya perlu memverifikasi bahwa seseorang yang meminta sertifikat untuk nama domain example.com benar-benar mengontrol domain tersebut sebelum menerbitkan sertifikat kepadanya. Karena CA tersebut dapat menerbitkan sertifikat untuk jutaan pelanggan yang mungkin tidak memiliki hubungan langsung, CA tersebut hanya dapat menyatakan identitas yang dapat diverifikasi secara publik. CA tersebut dibatasi pada proses verifikasi tertentu yang ditentukan dengan baik dan diterapkan secara konsisten di seluruh PKI Web.

Tidak seperti PKI Web, PKI pribadi sering kali melibatkan hierarki CA yang lebih kecil, yang dikelola langsung oleh organisasi. PKI pribadi hanya mengirimkan sertifikat kepada klien yang secara inheren memercayai organisasi untuk memiliki kontrol yang sesuai (misalnya, mesin yang dimiliki oleh organisasi tersebut). Karena admin CA sering kali memiliki cara mereka sendiri untuk memvalidasi identitas yang sertifikatnya mereka terbitkan (misalnya, menerbitkan sertifikat kepada karyawan mereka sendiri), mereka tidak dibatasi oleh persyaratan yang sama seperti untuk Web PKI. Fleksibilitas ini adalah salah satu keunggulan utama PKI pribadi dibandingkan PKI Web. PKI pribadi memungkinkan kasus penggunaan baru seperti mengamankan situs internal dengan nama domain pendek tanpa memerlukan kepemilikan unik nama tersebut, atau mengenkode format identitas alternatif (seperti ID SPIFFE) ke dalam sertifikat.

Certificate Authority Service bertujuan untuk menyederhanakan proses pengelolaan PKI pribadi dengan memungkinkan Anda membuat dan mengelola CA dengan mudah. Dengan demikian, Layanan CA tidak menentukan cara identitas dalam sertifikat harus divalidasi. Namun, Layanan CA menyediakan serangkaian kontrol kebijakan yang andal yang memungkinkan konfigurasi yang terperinci dari kumpulan CA. Untuk mengetahui informasi selengkapnya, lihat Kontrol kebijakan.

Langkah selanjutnya