Основы цифровых сертификатов и центра сертификации

Что такое цифровой сертификат


Цифровые сертификаты — это электронные учетные данные, которые используются для подтверждения онлайн-идентификаций отдельных лиц, компьютеров и других объектов в сети. Цифровые сертификаты функционируют аналогично удостоверениям личности, таким как паспорта и водительские права. Чаще всего они содержат открытый ключ и идентификационные данные владельца. Они выдаются центрами сертификации (CAs), которые должны подтвердить личность владельца сертификата как до выдачи сертификата, так и при его использовании. Общие области применения включают бизнес-сценарии, требующие аутентификации, шифрования и цифровой подписи.

Назначение сертификатов


Назначение сертификата определяет предполагаемое основное использование сертификата. Целью сертификата может быть один из четырех параметров:

  • Шифрование.Сертификат, предназначенный для этой цели, будет содержать криптографические ключи для шифрования и дешифрования.
  • Подпись.Сертификат, предназначенный для этой цели, будет содержать криптографические ключи только для подписи данных.
  • Подпись и шифрование.Сертификат, предназначенный для этой цели, охватывает все основные виды использования криптографического ключа сертификата, включая шифрование данных, дешифрование данных, первоначальный вход в систему или данные цифровой подписи.
  • Подпись и вход в систему по смарт-карте.Сертификат, предназначенный для этой цели, позволяет осуществлять первоначальный вход в систему с помощью смарт-карты и подписывать данные цифровой подписью; он не может использоваться для шифрования данных.

SSL, вероятно, является первым протоколом, использующим цифровые сертификаты. В наши дни они широко используются там, где когда-либо возникает необходимость в подписи и шифровании. Кстати, изготовление сертификатов доступно на страницах специализированного сайта.

Центр сертификации


Центр сертификации (CA) выдает цифровые сертификаты, содержащие открытый ключ и идентификационные данные владельца. Соответствующий закрытый ключ не предоставляется публично, но хранится в секрете конечным пользователем, который сгенерировал пару ключей. Сертификат также является подтверждением или проверкой центром сертификации того, что открытый ключ, содержащийся в сертификате, принадлежит лицу, организации, серверу или другому объекту, указанному в сертификате. Обязанностью центра сертификации в таких схемах является проверка учетных данных заявителя, чтобы пользователи и проверяющие стороны могли доверять информации в сертификатах центра сертификации. Для этого центры сертификации используют различные стандарты и тесты. По сути, центр сертификации отвечает за утверждение: «Да, этот человек тот, за кого они себя выдают, и мы, Центр сертификации, проверяем это».

Если пользователь доверяет центру сертификации и может проверить подпись центра сертификации, он также может убедиться, что определенный открытый ключ действительно принадлежит тому, кто указан в сертификате. Браузеры поддерживают список хорошо известных корневых сертификатов CAs. Помимо коммерческих центров сертификации, некоторые поставщики бесплатно предоставляют цифровые сертификаты для общего пользования. Крупные учреждения или государственные организации могут иметь свои собственные центры сертификации.

Иерархия CA

Центры сертификации имеют иерархическую структуру. Обычно существует три типа иерархий, и они обозначаются количеством уровней.

Одноуровневая / одноуровневая иерархия

Одноуровневая иерархия состоит из одного центра сертификации. Единый центр сертификации является одновременно корневым центром сертификации и центром сертификации-эмитентом. Корневой центр сертификации — это термин, обозначающий якорь доверия PKI. Любые приложения, пользователи или компьютеры, которые доверяют корневому центру сертификации, доверяют любым сертификатам, выданным иерархией центров сертификации. Выдающий центр сертификации — это центр сертификации, который выдает сертификаты конечным объектам. По соображениям безопасности эти две роли обычно разделены. При использовании одноуровневой иерархии они объединяются.

Двухуровневая иерархия

Наиболее распространенной является двухуровневая иерархия. В некотором смысле это компромисс между одноуровневой и трехуровневой иерархиями. В этом проекте есть корневой ЦС, который находится в автономном режиме, и подчиненный выдающий ЦС, который находится в режиме онлайн. Уровень безопасности повышается, поскольку роли корневого и выдающего центров сертификации разделены. Но что более важно, корневой центр сертификации находится в автономном режиме, и поэтому закрытый ключ корневого центра сертификации лучше защищен от компрометации. Это также повышает масштабируемость и гибкость. Это связано с тем, что может быть несколько центров сертификации, выдающих сертификаты, которые подчинены корневому центру сертификации. Это позволяет вам иметь центры сертификации в разных географических точках, а также с разными уровнями безопасности.

Трехуровневая иерархия

В частности, разница между двухуровневой иерархией заключается в том, что второй уровень размещается между корневым центром сертификации и центром сертификации-эмитентом. Размещение этого центра сертификации может быть вызвано несколькими различными причинами. Первая причина заключается в использовании центра сертификации второго уровня в качестве центра сертификации политики. Другими словами, Центр сертификации политики настроен на выдачу сертификатов выдающему центру сертификации, который ограничен в том, какие типы сертификатов он выдает. Центр сертификации политики также можно использовать просто как административную границу. Другими словами, вы выдаете только определенные сертификаты от подчиненных ЦС политики и выполняете определенный уровень проверки перед выдачей сертификатов, но политика применяется только с административной, а не с технической точки зрения.

Другая причина добавления второго уровня заключается в том, что если вам нужно отозвать несколько центров сертификации из-за компрометации ключа, вы можете выполнить это на уровне второго уровня, оставив доступными другие “ответвления от корня”. Следует отметить, что центры сертификации второго уровня в этой иерархии могут, как и Корневые, находиться в автономном режиме.