信任模型
背景
在典型的网络公钥基础架构 (PKI) 中,全球数以百万计的客户端信任一组独立的证书授权机构 (CA) 以在证书中声明身份(例如域名)。作为其职责的一部分,CA 承诺仅在已独立验证证书中的身份后颁发证书。例如,CA 通常需要验证某个为域名 example.com 请求证书的用户确实控制着该网域,然后才能向其颁发证书。由于这些 CA 可以为数百万客户颁发证书,而这些客户可能尚不存在直接关系,因此它们仅限于声明可公开验证的身份。这些 CA 仅限于在整个 Web PKI 中一致应用的明确定义的验证流程。
与 Web PKI 不同,专用 PKI 通常涉及较小的 CA 层次结构,该层次结构由组织直接管理。专用 PKI 仅将证书发送给本身信任组织具有适当控制措施的客户端(例如,该组织拥有的机器)。由于 CA 管理员通常有自己的方式来验证其颁发证书的身份(例如,向自己的员工颁发证书),因此他们不受与 Web PKI 相同的要求限制。这种灵活性是专用 PKI 相对于 Web PKI 的主要优势之一。私有 PKI 可用于新的使用场景,例如保护具有短域名的内部网站,而无需获得这些名称的唯一所有权,或者将替代身份格式(如 SPIFFE ID)编码到证书中。
Certificate Authority Service 旨在让您轻松创建和管理 CA,从而简化专用 PKI 的管理过程。因此,CA Service 不定义必须如何验证证书中的身份。但是,CA Service 提供了一组强大的政策控制功能,可让您对 CA 池进行精细配置。如需了解详情,请参阅政策控制。