Modello di attendibilità
Sfondo
In una tipica infrastruttura PKI (Public Key Infrastructure) web, milioni di client in tutto il mondo si affidano a un insieme di autorità di certificazione (CA) indipendenti per affermare le identità (ad esempio i nomi di dominio) nei certificati. Nell'ambito delle loro responsabilità, le CA si impegnano
a emettere certificati solo dopo aver convalidato in modo indipendente l'identità
in quel certificato. Ad esempio, in genere un'autorità di certificazione deve verificare che qualcuno che richiede un certificato per il nome di dominio example.com
effettivamente controlli il dominio in questione prima di emetterlo. Poiché queste CA possono emettere certificati per milioni di clienti con i quali potrebbero non avere un rapporto diretto esistente, sono limitate a dichiarare le identità che sono pubblicamente verificabili. Queste CA sono limitate a determinate procedure di verifica ben definite che vengono applicate in modo coerente alla PKI web.
A differenza della PKI web, una PKI privata spesso prevede una gerarchia CA più piccola, gestita direttamente da un'organizzazione. Una PKI privata invia certificati solo ai clienti che ritengono intrinsecamente che l'organizzazione disponga dei controlli appropriati (ad esempio, le macchine di proprietà dell'organizzazione). Poiché gli amministratori delle CA hanno spesso i propri modi per convalidare le identità per le quali emettono certificati (ad esempio, l'emissione di certificati ai propri dipendenti), non sono soggetti agli stessi requisiti della PKI web. Questa flessibilità è uno dei vantaggi principali della PKI privata rispetto alla PKI web. Una PKI privata consente nuovi casi d'uso, come la protezione di siti web interni con nomi di dominio brevi senza richiedere la proprietà univoca di questi nomi o la codifica di formati di identità alternativi (ad esempio gli ID SPIFFE) in un certificato.
L'obiettivo di Certificate Authority Service è semplificare la gestione della PKI privata consentendoti di creare e gestire facilmente le CA. Di conseguenza, il servizio CA non definisce in che modo le identità nei certificati devono essere convalidate. Tuttavia, CA Service fornisce un solido insieme di controlli dei criteri che consente la configurazione granulare dei pool di CA. Per ulteriori informazioni, consulta Controlli dei criteri.
Passaggi successivi
- Scopri di più sui controlli delle norme.
- Scopri come configurare i criteri IAM.
- Scopri come utilizzare un criterio di emissione.