您的信息与您的任何企业资产一样重要。为您最有价值的系统和数据添加更多重的安全性已经不再是可选项—这已经成为了必选项。您可以通过PKI采用先进的身份验证和加密方法来降低网络风险。
公钥基础结构(PKI)是流程、技术和策略的系统,能让您对数据进行加密和签名。您可以颁发对用户、设备或服务进行身份验证的数字证书。这些证书可为公共Web页面和专用系统创建安全连接,其中专用系统包括您的虚拟专用网络(VPN)、内部Wi-Fi、Wiki页面,以及其他支持MFA的服务。有疑问?
专用PKI能让您利用通常由公共可信的CA所维护的中间根来颁发您自己的专用SSL证书。这能让您根据独特需求定制证书,并为内部流程按需部署证书。
公钥基础结构(PKI)是流程、技术和策略的系统,能让您对数据进行加密和/或签名。您可以颁发对用户、设备或服务进行身份验证的数字证书。这些证书可用于公共Web页面和专用内部服务(例如,用于对连接到您的VPN、Wiki、Wi-Fi的设备进行身份验证)
通过使用公钥基础结构(PKI),您可以大幅提高网络的安全级别。三个主要优势使其成为可能:
PKI的常见用例包括但不限于:
端到端加密是指在您的设备上加密消息,然后在收件人的设备上进行解密。这意味着没有第三方可以拦截您的敏感数据。
证书颁发机构(CA)是可信任的第三方,CA验证申请数字证书的组织的身份。在验证了组织的身份之后,CA会颁发证书并将组织的身份与公钥相绑定。数字证书可以信任,因为它已经链接至CA的根证书。
数字证书证明持有者的身份。就像驾照一样,证书是由受信任的第三方颁发的,不能伪造,并包含识别信息.
公钥和私钥用于加密和解密信息。只有私钥才能解密由公钥加密的信息。该密钥对被称为非对称加密技术(因为加密是使用不同的密钥完成的)。这两个密钥在数学上是相关的,但是无法使用一个密钥去决定另一个密钥。
在把身份绑定到公钥时,根证书提供签名。这是您识别证书是否有效以及您是否应该信任它的方式。
简短的回答是,提供。DigiCert提供公共PKI和专用PKI解决方案,以及平台和RESTful API,使您能够自动化证书管理并自定义PKI工作流程。您可能只与商业CA合作购买过公共SSL证书。如果将此作为您唯一的参考点,您可能会认为专用证书的费用与公共证书类似——但情况并非如此。使用DigiCert颁发专用数字证书的成本仅是公共证书成本的一小部分。
安全工程师和管理员有时会错误地认为,托管的专用PKI会限定某些证书配置文件。他们认为自己将只能访问由CA/浏览器论坛批准的证书配置文件。然而,DigiCert可以为您提供您所需要的任何证书配置文件。这些证书配置文件不必是SSL/TLS证书配置文件——甚至不必是X.509。
托管PKI(MPKI)是CA提供的一种解决方案,能让您启动证书流程的自动化并自定义PKI工作流程。一旦贵组织达到了需要大量证书的阶段,就能从简化证书管理的MPKI解决方案中受益。
您可以使用内部CA保护您的内部服务(例如VPN、WiFi、Wiki等)。各类组织通常使用Microsoft CA来开展此项工作。然而,建立并维护内部CA可能既昂贵又耗时。在做出决定之前,您需要仔细考虑每一项的费用。许多CA提供托管解决方案,能够为您节省建立内部PKI所涉及的某些硬件、软件和人员成本。
证书策略(CP)是用于确定PKI的不同参与者及其角色和职责的文档。CP指定了一些做法,例如如何使用证书,如何选择证书名称,如何生成密钥以及更多内容。通常在X.509证书的字段中指定关联的CP。如需了解有关CP的详细信息,请查看最新的参考文档(RFC 3647): https://tools.ietf.org/html/rfc3647
密钥存储,通常称为密钥存档,指安全地存储私钥以防止其丢失。为了满足FIPS要求并确保最高等级的安全性,我们建议您使用硬件安全模块(HSM)存储密钥。
HSM是用于安全密钥存储的基于加密硬件的选项。HSM的实体位置往往在本地,并且需要内部资源进行维护。这可能会耗费大量成本,但也确实存在价格相对较低的选择。例如,Microsoft Azure Key Vault在微软的云端HSM中提供密钥的安全存储。如果您的组织规模较小,或者没有足够的资源购买并维护自己的HSM,那么Microsoft Azure Key Vault是一个可行的解决方案。一些公共CA,包括DigiCert, 提供与Microsoft Azure的集成。
首先,您需要考虑自己的需求和目前所使用的技术,从而对您的环境进行评估。我们建议您采取以下五个步骤来启动工作:
如果您需要帮助,请发送电子邮件至enterprise@digicert.com联系我们的PKI架构师。