信任模型
背景
在典型的網路公開金鑰基礎架構 (PKI) 中,全球數百萬個用戶端信任一組獨立的憑證授權單位 (CA),以在憑證中聲明身分 (例如網域名稱)。CA 的職責包括承諾只在獨立驗證憑證中的身分後,才核發憑證。舉例來說,CA 通常需要先驗證要求網域名稱 example.com 憑證的人員是否實際控管該網域,才會核發憑證。由於這些 CA 可為數百萬名客戶核發憑證,但他們可能與這些客戶沒有直接關係,因此只能聲明可公開驗證的身分。這些 CA 僅限於某些定義明確的驗證程序,且這些程序在 Web PKI 中會持續套用。
與 Web PKI 不同,私有 PKI 通常涉及較小的 CA 層級,由機構直接管理。私有 PKI 只會將憑證傳送給本質上信任該機構具有適當控管機制的用戶端 (例如該機構擁有的機器)。由於 CA 管理員通常有自己的身分驗證方式,可為核發憑證的身分驗證 (例如為自家員工核發憑證),因此不受與 Web PKI 相同的規定限制。相較於 Web PKI,私人 PKI 的主要優勢之一就是彈性。私有 PKI 可啟用新的用途,例如使用短網域名稱保護內部網站,而不必擁有這些名稱的專屬權,或將替代身分識別格式 (例如 SPIFFE ID) 編碼為憑證。
憑證授權單位服務可讓您輕鬆建立及管理憑證授權單位,簡化私人 PKI 的管理程序。因此,CA 服務不會定義憑證中身分的驗證方式。不過,憑證授權單位服務提供健全的政策控管機制,可精細設定 CA 集區。詳情請參閱「政策控制項」。