信任模型
背景
在典型的 Web 公钥基础架构 (PKI) 中,全球数百万客户信任一组独立的证书授权机构 (CA),以便在证书中声明身份(例如域名)。作为其职责的一部分,CA 承诺仅在独立验证证书中的身份后才颁发证书。例如,在向某人颁发证书之前,CA 通常需要验证该人是否实际控制着域名 example.com。由于这些 CA 可以为数百万客户颁发证书,而这些客户可能与其之间没有现有的直接关系,因此它们只能声明可公开验证的身份。这些 CA 仅限于在 Web PKI 中始终如一地应用的特定明确验证流程。
与 Web PKI 不同,私有 PKI 通常涉及更小的 CA 层次结构,该层次结构由组织直接管理。私有 PKI 仅向本质上信任组织具有适当控制措施的客户端(例如,归该组织所有的机器)发送证书。由于 CA 管理员通常有自己的方法来验证要为其颁发证书的身份(例如,向自己的员工颁发证书),因此他们不受与 Web PKI 相同的要求的限制。这种灵活性是私有 PKI 相较于 Web PKI 的主要优势之一。私有 PKI 支持新的用例,例如使用短域名保护内部网站(无需对这些域名拥有唯一所有权),或将备选身份格式(例如 SPIFFE ID)编码到证书中。
Certificate Authority Service 旨在让您轻松创建和管理 CA,从而简化私有 PKI 的管理流程。因此,CA 服务不会定义必须如何验证证书中的身份。不过,CA Service 提供了一组强大的政策控制功能,可对 CA 池进行精细配置。如需了解详情,请参阅政策控制。